Grupo cibercriminoso Bahamut lança campanha de malware que visa utilizadores Android


A app maliciosa usada foi uma versão “trojanizada” de uma de duas apps
de VPN legítimas, a SoftVPN e OpenVPN.
  • A app maliciosa usada nesta campanha ativa do grupo Bahamut foi desenhada para roubar dados sensíveis de utilizadores, bem como espiar as apps de mensagens das vítimas. Entre elas inclui-se o WhatsApp, Facebook Messenger, Signal, Viber e Telegram.
  • Em momentos diferentes, a app usada foi uma versão “trojanizada” de uma de duas apps de VPN legítimas, a SoftVPN e OpenVPN. Ambas foram munidas de código de spyware do grupo.

Investigadores da ESET identificaram uma campanha ativa que visa utilizadores de Android. Conduzida pelo grupo malicioso Bahamut, o principal objetivo da campanha de spyware é sobretudo o roubo de dados sensíveis de utilizadores. Ainda mais, a campanha inclui atividades de espionagem de apps de mensagem como WhatsApp, Facebook Messenger, Signal, Viber, assim como Telegram.

Em períodos distintos, a app usada foi uma versão “trojonizada” de uma de duas apps de VPN legítimas, SoftVPN e OpendVPN. Em ambos os casos, a app foi personalizada com código de spyware do grupo Bahamut. A ESET identificou pelo menos oito versões destas apps maliciosas personalizadas com mudança de código e atualizadas através de um website de distribuição, ambas características que revelam uma campanha bem organizada e que está ativa desde o início de 2022. Porém nenhuma das apps maliciosas esteve alguma vez disponível para download na loja Google Play.

Método de distribuição das apps com spyware revela campanha organizada

O website SecureVPN falso foi criado com base num template web gratuito (ver imagem acima). Ele terá sido usado pelo agente malicioso como inspiração dado que requer pouca personalização e tem um aspeto legítimo.

As apps com spyware do grupo são distribuídas através de um website SecureVPN falso que fornece apenas apps Android “trojanizadas” para download. Todavia este website não tem qualquer associação com o software e serviço SecureVPN legítimo e multiplataforma. O principal objetivo da campanha é o roubo de contactos, mensagens SMS, chamadas telefónicas gravadas, bem como mensagens de chat a partir de aplicações de mensagem. Entre elas destaca-se o WhatsApp, Facebook Messenger, Signal, Viber e Telegram.

Atualmente a telemetria da ESET não detetou instâncias de atividade desta campanha de malware. Nesse sentido, é provável que se tratem de tentativas de infiltração altamente direcionadas. A app maliciosa solicita uma chave de ativação antes do VPN e da funcionalidade de spyware ficarem ativas. Tanto a chave de acesso como o link do website forjado são provavelmente enviados diretamente a utilizadores-alvo específicos.

Esta camada de segurança almeja proteger a carga maliciosa de ficar ativa logo após o seu envio para um dispositivo final não intencionado ou quando está a ser analisada. Analogamente, a ESET detetou um método de proteção semelhante noutra campanha do grupo Bahamut.

Todos os dados desviados são armazenados numa base de dados local e depois são remetidos para o servidor Command and Control (C&C). Ao mesmo tempo, a funcionalidade de spyware do grupo inclui a capacidade de atualizar a app maliciosa ao receber um link para uma nova versão do servidor C&C.

Ciberespionagem a soldo

O grupo usa mensagens de spearphishing bem como aplicações falsas como vetor de ataque inicial contra entidades e indivíduos no Médio Oriente e Ásia do Sul. No caso desta campanha, o vetor de distribuição inicial ainda não é conhecido. O Bahamut especializa-se em ciberespionagem e é referenciado como um grupo de mercenários com serviços de acesso não autorizado a soldo para vários clientes.

Para mais informação técnica sobre a mais recente campanha do grupo Bahamut, consulte o artigo completo no WeLiveSecurity.

Finalmente, descubra outras investigações exclusivas da ESET que contribuem para esboçar uma paisagem precisa das mais recentes ciberameaças que os utilizadores, quer domésticos, quer empresariais, devem conhecer, no mais recente relatório de ameaças da especialista europeia.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

twenty + 16 =

*