ESET открива активна кампания, насочена към потребители на Android

Изследователите на ESET са идентифицирали активна кампания, насочена към потребители на Android, проведена от групата Bahamut APT. Изследователите обясниха, че тази кампания се провежда от началото на тази година.

Приложенията за злонамерен шпионски софтуер се разпространяват чрез фалшив уебсайт SecureVPN, който предоставя само приложения за Android, съдържащи троянски коне, които можете да изтеглите. Според ESET този сайт няма никаква връзка с легитимния междуплатформен софтуер и услуги на SecureVPN.

Злонамерените приложения, използвани в тази кампания, са способни да ексфилтрират контакти, SMS съобщения, записани телефонни обаждания и дори чат съобщения от приложения като WhatsApp, Facebook Messenger, Signal, Viber и Telegram.

Изследователите на ESET откриха най-малко осем версии на шпионския софтуер Bahamut, което може да означава, че кампанията се поддържа добре. Злонамерените приложения никога не са били достъпни за изтегляне от Google Play.

“Данните се извличат чрез функцията за keylogging на злонамерен софтуер, който злоупотребява с услугите за достъпност. Кампанията изглежда е силно насочена, тъй като не виждаме случаи в нашите телеметрични данни”, обяснява изследователят на ESET Лук Тефанко, който е открил и анализирал опасен злонамерен софтуер за Android.

“В допълнение, приложението изисква ключ за активиране, преди да активира функционалността на VPN и шпионски софтуер. Вероятно както ключът за активиране, така и връзката към уебсайта ще бъдат изпратени до целевите потребители”, добавя Тифанко.

Този слой има за цел да защити злонамерения полезен товар от стартиране веднага след стартиране на машина на нецелеви потребител или при анализиране. Компанията каза в изявление, че ESET Research вече е виждал подобни защити, използвани в друга кампания от Bahamut Group.

Всички изтекли данни се съхраняват в локална база данни и след това се изпращат до команден и контролен (C&C) сървър. Функционалността на шпионския софтуер на Bahamut включва възможност за актуализиране на приложението чрез получаване на връзка към нова версия на командния и контролен сървър.

Ако шпионският софтуер на Bahamut е активиран, той може да се контролира дистанционно от операторите на Bahamut и може да ексфилтрира много чувствителни данни от устройството. Това включва контакти, SMS съобщения, регистър на обажданията, списък с инсталирани приложения, местоположение на устройството, акаунти на устройството, информация за устройството (тип интернет връзка, IMEI, IP, сериен номер на SIM), записани телефонни обаждания и списък с файлове във външно хранилище .

Чрез злоупотреба с услугите за достъпност злонамереният софтуер може да открадне бележки от приложението SafeNotes и активно да шпионира чат съобщения и информация за обаждания от популярни приложения за съобщения, като imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram и други приложения WeChat и Conion.

Spearphishing съобщенията и фалшивите приложения обикновено се използват от групата Bahamut APT като първоначален вектор за атака срещу организации и лица в Близкия изток и Южна Азия. Bahamut е специализиран в кибершпионажа и ESET Research вярва, че целта му е да открадне чувствителна информация от своите жертви.

Bahamut също се нарича група наемници, която предоставя услуги за хакване срещу наемане на широк кръг клиенти. Името е дадено на тази заплаха, която изглежда е експерт по фишинг, от групата за разследваща журналистика Bellingcat.

Bellingcat кръсти групата на огромната риба, която плува в необятното Арабско море, спомената в книгата на Хорхе Луис Борхес „Въображаеми същества“. Бахамутът често се описва в арабската митология като невъобразимо страховита риба, казва ESET.