El grupo de ciberespionaje conocido como Bahamut ha sido atribuido como responsable de una campaña altamente dirigida que infecta a los usuarios de dispositivos Android con aplicaciones maliciosas diseñadas para extraer información confidencial.
La actividad, que ha estado activa desde enero de 2022, implica la distribución de aplicaciones VPN no autorizadas a través de un sitio web falso de SecureVPN creado para este propósito, firma de ciberseguridad eslovaca ESET. dijo en un nuevo informe compartido con The Hacker News.
Hasta la fecha, se han descubierto al menos ocho variantes diferentes de las aplicaciones de spyware, siendo ellas versiones troyanizadas de aplicaciones VPN legítimas como SoftVPN y OpenVPN.
Las aplicaciones manipuladas y sus actualizaciones se envían a los usuarios a través del sitio web fraudulento. También se sospecha que los objetivos se seleccionan cuidadosamente, ya que el lanzamiento de la aplicación requiere que la víctima ingrese una clave de activación para habilitar las funciones.
Esto implica el uso de un vector de distribución indeterminado, aunque la evidencia anterior muestra que podría tomar la forma de correos electrónicos de phishing, mensajes SMS o mensajes directos en aplicaciones de redes sociales.
El mecanismo de la clave de activación también está diseñado para comunicarse con un servidor controlado por un actor, lo que evita que el malware se active accidentalmente justo después del lanzamiento en un dispositivo de usuario no objetivo.
Bahamut fue desenmascarado en 2017 por Bellingcat como operación de pirateo a sueldo apuntando a funcionarios gubernamentales, grupos de derechos humanos y otras entidades de alto perfil en el sur de Asia y el Medio Oriente con aplicaciones maliciosas de Android e iOS para espiar a sus víctimas.
“Quizás el aspecto más distintivo de la artesanía de Bahamut que BlackBerry descubrió es el uso por parte del grupo de sitios web, aplicaciones y personajes originales y minuciosamente elaborados”, señaló BlackBerry en octubre de 2020.
A principios de este año, Cyble detalló dos conjuntos de suplantación de identidad ataques orquestado por el grupo para impulsar aplicaciones de Android falsificadas que se hacen pasar por aplicaciones de chat.
La última ola sigue una trayectoria similar, engañando a los usuarios para que instalen aplicaciones VPN aparentemente inocuas que pueden filtrar una gran cantidad de información, incluidos archivos, listas de contactos, SMS, grabaciones de llamadas telefónicas, ubicaciones y mensajes de WhatsApp, Facebook Messenger, Signal, Viber. , Telegrama y WeChat.
«La exfiltración de datos se realiza a través de la funcionalidad de registro de teclas del malware, que hace un mal uso de los servicios de accesibilidad», dijo el investigador de ESET Lukáš Štefanko.
En una señal de que la campaña está bien mantenida, el actor de amenazas inicialmente empaquetó el código malicioso dentro de la aplicación SoftVPN, antes de pasar a OpenVPN, un cambio explicado por el hecho de que la aplicación SoftVPN real dejó de funcionar y ya no fue posible establecer un Conexión VPN.
«La campaña móvil operada por el grupo Bahamut APT todavía está activa; utiliza el mismo método de distribución de sus aplicaciones de software espía de Android a través de sitios web que se hacen pasar por servicios legítimos o se hacen pasar por ellos, como se ha visto en el pasado», agregó Štefanko.