Siber casusluk grubu olarak bilinen Bahamut Android cihaz kullanıcılarına hassas bilgileri ayıklamak için tasarlanmış kötü amaçlı uygulamalar bulaştıran, yüksek oranda hedeflenmiş bir kampanyanın arkasında olduğu belirtildi.
Ocak 2022’den beri aktif olan etkinlik, sahte VPN uygulamalarının bu amaçla kurulmuş sahte bir SecureVPN web sitesi üzerinden dağıtılmasını içeriyor, Slovak siber güvenlik firması ESET söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Casus yazılım uygulamalarının bugüne kadar en az sekiz farklı çeşidi keşfedildi ve bunların meşru VPN uygulamalarının truva atı haline getirilmiş sürümleri olduğu ortaya çıktı. SoftVPN ve OpenVPN. Bu uygulamaların hiçbiri Google Play Store’da mevcut değildir.
Kurcalanmış uygulamalar ve güncellemeleri, sahte web sitesi aracılığıyla kullanıcılara iletilir. Ayrıca, uygulamayı başlatmak kurbanın özellikleri etkinleştirmek için bir aktivasyon anahtarı girmesini gerektirdiğinden, hedeflerin dikkatli bir şekilde seçildiğinden şüpheleniliyor.
Bu, belirlenmemiş bir dağıtım vektörünün kullanıldığı anlamına gelir, ancak geçmişteki kanıtlar hedef odaklı kimlik avı e-postaları, SMS mesajları veya sosyal medya uygulamalarındaki doğrudan mesajlar şeklinde olabileceğini gösteriyor.
Aktivasyon anahtarı mekanizması, aktör tarafından kontrol edilen bir sunucuyla iletişim kuracak ve kötü amaçlı yazılımın hedeflenmemiş bir kullanıcı cihazında başlatıldıktan hemen sonra yanlışlıkla tetiklenmesini etkili bir şekilde önleyecek şekilde tasarlanmıştır.
Bahamut oldu maskesiz içinde 2017 Bellingcat tarafından kiralık hack operasyonu kurbanlarını gözetlemek için kötü amaçlı Android ve iOS uygulamalarıyla Güney Asya ve Orta Doğu’daki hükümet yetkililerini, insan hakları gruplarını ve diğer yüksek profilli kuruluşları hedef alıyor.
“Bahamut’un ticaret zanaatının belki de en ayırt edici yönü […] Kanadalı siber güvenlik şirketi BlackBerry, Ekim 2020’de grubun orijinal, özenle hazırlanmış web sitelerini, uygulamaları ve kişileri kullanmasıdır” dedi.
Bu yılın başlarında, Cyble iki set detaylandırdı. e-dolandırıcılık saldırılar sohbet uygulamaları kılığına giren sahte Android uygulamalarını zorlamak için grup tarafından düzenlenir.
En son dalga da benzer bir yörünge izliyor ve kullanıcıları, dosyalar, kişi listeleri, SMS’ler, telefon görüşmesi kayıtları, konumlar ve WhatsApp, Facebook Messenger, Signal, Viber’den gelen mesajlar dahil olmak üzere çok çeşitli bilgileri sızdırabilen görünüşte zararsız VPN uygulamaları yüklemeleri için kandırıyor. , Telegram ve WeChat.
ESET araştırmacısı Lukáš Štefenko, “Veri hırsızlığı, kötü amaçlı yazılımın erişilebilirlik hizmetlerini kötüye kullanan keylogging işlevi aracılığıyla yapılıyor” dedi.
Tehdit aktörü, kampanyanın iyi sürdürüldüğünün bir işareti olarak, OpenVPN’e geçmeden önce kötü amaçlı kodu başlangıçta SoftVPN uygulaması içinde paketledi. VPN bağlantısı.
Štefenko, “Bahamut APT grubu tarafından yürütülen mobil kampanya hala aktif; Android casus yazılım uygulamalarını, meşru hizmetler gibi davranan veya meşru hizmetler gibi görünen web siteleri aracılığıyla dağıtmak için geçmişte görüldüğü gibi aynı yöntemi kullanıyor” diye ekledi Štefenko.