Bahamut Cybermercenary Group slår igen genom falska VPN-appar för Android

Bahamut Cybermercenary Group slår igen genom falska VPN-appar för Android

En otrevlig grupp cyberlegosoldater injicerar spionprogram i Android-enheter för att stjäla användares konversationer, bekräftar ny ESET-forskning (öppnas i en ny flik).

Dessa skadliga attacker lanseras via falska Android VPN-appar. Bevis tyder på att hackarna använde skadliga versioner av programvaran SecureVPN, SoftVPN och OpenVPN.

Känd som Bahamut ATP, ses gruppen som en tjänst att hyra som vanligtvis lanserar attacker via nätfiskemeddelanden och falska appar. Enligt tidigare rapporter har dess hackare riktat sig mot både organisationer och individer i Mellanöstern och Sydasien sedan 2016.

ESETs forskare beräknas ha startat i januari 2022 och tror att den skadliga VPN-distributionsgruppens kampanj för närvarande pågår.

Skadlig sida för att ladda ner falsk SecureVPN-app

(Bildkredit: ESET Research)

Från nätfiske-e-postmeddelanden till falska VPN

"Kampanjen verkar vara mycket riktad, eftersom vi inte ser några fall i vår telemetridata", säger Lukáš Štefanko, ESET-forskaren som upptäckte skadlig programvara.

"Dessutom begär appen en aktiveringsnyckel innan VPN-funktionalitet och spionprogram kan aktiveras. Aktiveringsnyckeln och webblänken kommer sannolikt att skickas till de riktade användarna."

Štefanko förklarar att när appen väl är aktiverad kan Bahamut-hackare fjärrstyra spionprogrammet. Detta betyder att de kan infiltrera och samla in massor av känslig användardata.

"Dataexfiltrering görs genom skadlig programvaras nyckelloggningsfunktion, som missbrukar tillgänglighetstjänster", sa han.

Oavsett om det är SMS-meddelanden, samtalsloggar, enhetsplatser och andra detaljer, eller till och med krypterade meddelandeappar som WhatsApp, Telegram eller Signal, kan dessa cyberbrottslingar spionera på praktiskt taget allt de hittar på offrens enheter utan deras vetskap.

ESET har identifierat minst åtta trojaninfekterade versioner av dessa VPN-tjänster, vilket innebär att kampanjen är väl underhållen.

Det bör noteras att inte i något fall var skadlig programvara associerad med den legitima tjänsten och ingen av de skadlig programvara-infekterade apparna marknadsfördes på Google Play.

Den initiala fördelningsvektorn är dock fortfarande okänd. Om man tittar på hur Bahamut ATP normalt fungerar kan en skadlig länk ha skickats via e-post, sociala medier eller SMS.

Vad vet vi om Bahamut APT?

Även om det fortfarande är oklart vem som ligger bakom detta framstår Bahamut ATP som ett legosoldathackerkollektiv, eftersom deras attacker faktiskt inte följer något specifikt politiskt intresse.

Bahamut har drivit produktiva cyberspionagekampanjer sedan 2016, främst i Mellanöstern och Sydasien.

Den undersökande journalistikgruppen Bellingcat var först med att avslöja sin verksamhet 2017, och beskrev hur internationella och regionala makter har blivit aktivt involverade i sådana övervakningsoperationer.

"Bahamut är därför anmärkningsvärt som en framtidsvision där modern kommunikation har sänkt barriärerna för små länder att bedriva effektiv övervakning av nationella dissidenter och expandera utanför deras gränser", avslutade Bellingcat (öppnas i en ny flik) vid den tiden.

Senare döptes gruppen om till Bahamut, för att hedra den gigantiska fisk som flyter i Arabiska havet som beskrivs i Jorge Luis Borges Book of Imaginary Beings.

artist rendering av en hacker

(Bildkredit: Shutterstock)

På senare tid har annan forskning belyst hur gruppen Advanced Persistent Threat (APT) i allt högre grad vänder sig till mobila enheter som sitt primära mål.

Cybersäkerhetsföretaget Cyble upptäckte först denna nya trend i april förra året (öppnas i en ny flik), och noterade att Bahamut-gruppen "planerar sin attack mot målet, stannar i naturen ett tag, tillåter att attacken påverkar många människor och organisationer, och i slutändan stjäl deras data.

Även i det här fallet lyfte forskarna fram cyberbrottslingarnas förmåga att utveckla en nätfiskewebbplats så väl utformad för att lura offer och vinna deras förtroende.

Som bekräftats av Lukáš Štefanko för den oseriösa Android-app-incidenten: "Spywarekoden, och därför dess funktionalitet, är densamma som i tidigare kampanjer, inklusive insamling av data som ska exfiltreras i en databas." data innan de skickas till operatörerna ' server, en taktik som sällan ses i mobila cyberspionageapplikationer.