Kötü şöhretli bir siber paralı asker grubu, kullanıcıların konuşmalarını çalmak için Android cihazlara casus yazılım enjekte ediyor, yeni ESET araştırması (yeni sekmede açılır) bulundu.
Bu kötü amaçlı yazılım saldırıları, bilgisayar korsanlarının SecureVPN, SoftVPN ve OpenVPN yazılımının kötü amaçlı sürümlerini kullandığını gösteren kanıtlarla birlikte sahte Android VPN uygulamaları aracılığıyla başlatılır.
Bahamut ATP olarak bilinen grubun, genellikle hedef odaklı kimlik avı mesajları ve sahte uygulamalar yoluyla saldırılar başlatan, kiralık bir hizmet olduğu düşünülüyor. Önceki raporlara göre, bilgisayar korsanları 2016’dan beri Orta Doğu ve Güney Asya’daki hem kuruluşları hem de bireyleri hedefliyor.
Ocak 2022’de başladığı tahmin edilen ESET araştırmacıları, grubun kötü amaçlı VPN dağıtma kampanyasının şu anda devam ettiğine inanıyor.
Kimlik avı e-postalarından sahte VPN’lere
Kötü amaçlı yazılımı ilk keşfeden ESET araştırmacısı Lukáš Štefenko, “Telemetri verilerimizde hiçbir örnek görmediğimiz için kampanya oldukça hedeflenmiş görünüyor” dedi.
“Ayrıca uygulama, VPN ve casus yazılım işlevselliği etkinleştirilmeden önce bir etkinleştirme anahtarı istiyor. Hem etkinleştirme anahtarı hem de web sitesi bağlantısı muhtemelen hedeflenen kullanıcılara gönderiliyor.”
Štefenko, uygulama etkinleştirildikten sonra Bahamut bilgisayar korsanlarının casus yazılımları uzaktan kontrol edebileceğini açıklıyor. Bu, bir ton kullanıcının hassas verisine sızabilecekleri ve toplayabilecekleri anlamına gelir.
“Veri hırsızlığı, erişilebilirlik hizmetlerini kötüye kullanan kötü amaçlı yazılımın keylogging işlevi aracılığıyla yapılır” dedi.
SMS mesajları, arama günlükleri, cihaz konumları ve diğer ayrıntılardan WhatsApp, Telegram veya Signal gibi şifreli mesajlaşma uygulamalarına kadar bu siber suçlular kurbanların cihazlarında buldukları neredeyse her şeyi onlar bilmeden gözetleyebilir.
ESET, bu truva atı haline getirilmiş VPN hizmetlerinin en az sekiz sürümünü belirledi, bu da kampanyanın iyi durumda olduğu anlamına geliyor.
Hiçbir durumda meşru hizmetle ilişkili kötü amaçlı yazılım olmadığını ve kötü amaçlı yazılım bulaşmış uygulamaların hiçbirinin Google Play’de tanıtılmadığını belirtmekte fayda var.
Yine de ilk dağıtım vektörü hala bilinmiyor. Bahamut ATP’nin genel olarak nasıl çalıştığına bakıldığında, e-posta, sosyal medya veya SMS yoluyla kötü niyetli bir bağlantı gönderilmiş olabilir.
Bahamut APT hakkında ne biliyoruz?
Arkasında kimin olduğu hala netlik kazanmamış olsa da, Bahamut ATP, saldırıları belirli bir siyasi çıkarı takip etmediği için bir paralı asker korsanları topluluğu gibi görünüyor.
Bahamut, 2016’dan beri ağırlıklı olarak Orta Doğu ve Güney Asya’da verimli bir şekilde siber casusluk kampanyaları yürütüyor.
Araştırmacı gazetecilik grubu Bellingcat, 2017’de operasyonlarını ilk kez ifşa eden ve hem uluslararası hem de bölgesel güçlerin bu tür gözetleme operasyonlarına nasıl aktif olarak katıldığını açıklayan gruptu.
“Bahamut, bu nedenle, modern iletişimin, küçük ülkelerin yerel muhalifler üzerinde etkili bir gözetleme yürütmesi ve sınırlarının ötesine geçmesi önündeki engelleri kaldırdığı bir gelecek vizyonu olarak dikkate değerdir.” Belling kedisi (yeni sekmede açılır) o zaman.
Grubun adı, Jorge Luis Borges’in Hayali Varlıklar Kitabında anlatılan Umman Denizi’nde yüzen dev balıktan sonra Bahamut olarak yeniden adlandırıldı.
Daha yakın zamanlarda yapılan başka bir araştırma, Gelişmiş Kalıcı Tehdit (APT) grubunun mobil cihazları nasıl giderek daha fazla ana hedef olarak kullandığını vurguladı.
Siber güvenlik firması Cyble bu yeni trendi ilk kez geçen Nisan ayında fark etti. (yeni sekmede açılır)Bahamut grubunun “hedefe yönelik saldırısını planladığını, bir süre yabanda kaldığını, saldırılarının birçok kişi ve kuruluşu etkilemesine izin verdiğini ve sonunda verilerini çaldığını” kaydetti.
Ayrıca bu vakada, araştırmacılar siber suçluların kurbanları kandırmak ve güvenlerini kazanmak için böylesine iyi tasarlanmış bir kimlik avı sitesi geliştirme yeteneklerini vurguladılar.
Lukáš Štefanko’nun sahte Android uygulamaları olayı için onayladığı gibi: “Casus yazılım kodu ve dolayısıyla işlevselliği, yerel bir veri tabanından dışarı sızacak verilerin toplanması ve operatörlerin sunucusuna gönderilmeden önce toplanması da dahil olmak üzere önceki kampanyalardakiyle aynıdır; bu bir taktiktir. mobil siber casusluk uygulamalarında nadiren görülür.”