Se ha atribuido al grupo de ciberespionaje conocido como Bahamut estar detrás de una campaña muy específica que infecta a los usuarios de dispositivos Android con aplicaciones maliciosas diseñadas para extraer información confidencial.
La actividad, que ha estado activa desde enero de 2022, implica la distribución de aplicaciones VPN no autorizadas a través de un sitio web falso de SecureVPN creado para este propósito, dijo la firma de ciberseguridad eslovaca ESET en un nuevo informe compartido con The Hacker News.
Hasta la fecha, se han descubierto al menos ocho variantes diferentes de las aplicaciones de spyware, siendo ellas versiones troyanizadas de aplicaciones VPN legítimas como SoftVPN y OpenVPN . Ninguna de estas aplicaciones está disponible en Google Play Store.
Las aplicaciones manipuladas y sus actualizaciones se envían a los usuarios a través del sitio web fraudulento. También se sospecha que los objetivos se seleccionan cuidadosamente, ya que el lanzamiento de la aplicación requiere que la víctima ingrese una clave de activación para habilitar las funciones.
Esto implica el uso de un vector de distribución indeterminado, aunque la evidencia anterior muestra que podría tomar la forma de correos electrónicos de phishing, mensajes SMS o mensajes directos en aplicaciones de redes sociales.
El mecanismo de la clave de activación también está diseñado para comunicarse con un servidor controlado por un actor, lo que evita que el malware se active accidentalmente justo después del lanzamiento en un dispositivo de usuario no objetivo.
Bahamut fue desenmascarado en 2017 por Bellingcat como una operación de piratería contra funcionarios gubernamentales, grupos de derechos humanos y otras entidades de alto perfil en el sur de Asia y Medio Oriente con aplicaciones maliciosas de Android e iOS para espiar a sus víctimas.
«Quizás el aspecto más distintivo del oficio de Bahamut […] es el uso del grupo de sitios web, aplicaciones y personas originales y minuciosamente elaborados», señaló la empresa canadiense de ciberseguridad BlackBerry en octubre de 2020.
A principios de este año, Cyble detalló dos conjuntos de ataques de phishing orquestados por el grupo para impulsar aplicaciones de Android falsificadas que se hacen pasar por aplicaciones de chat.
La última ola sigue una trayectoria similar, engañando a los usuarios para que instalen aplicaciones VPN aparentemente inocuas que pueden filtrar una gran cantidad de información, incluidos archivos, listas de contactos, SMS, grabaciones de llamadas telefónicas, ubicaciones y mensajes de WhatsApp, Facebook Messenger, Signal, Viber. , Telegrama y WeChat.
«La exfiltración de datos se realiza a través de la funcionalidad de registro de teclas del malware, que hace un mal uso de los servicios de accesibilidad», dijo el investigador de ESET Lukáš Štefanko.
En una señal de que la campaña está bien mantenida, el actor de amenazas inicialmente empaquetó el código malicioso dentro de la aplicación SoftVPN, antes de pasar a OpenVPN, un cambio explicado por el hecho de que la aplicación SoftVPN real dejó de funcionar y ya no fue posible establecer un Conexión VPN.
«La campaña móvil operada por el grupo Bahamut APT todavía está activa; utiliza el mismo método de distribución de sus aplicaciones de software espía de Android a través de sitios web que se hacen pasar por servicios legítimos o se hacen pasar por ellos, como se ha visto en el pasado», agregó Štefanko.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos.