Кибер наемниците се насочват към потребителите на Android с фалшиви VPN приложения

Киберпрестъпност
И на
Киберпрестъпността като услуга
И на
Управление на измами и киберпрестъпления

Злонамерените приложения могат да източват информация от Signal, Viber и Telegram

Троянски версии на две легитимни приложения, използвани от нападателите

Изследователите на Eset казаха, че групата за хакване под наем разпространява злонамерени приложения чрез фалшив уебсайт SecureVPN, който позволява изтегляне на приложения за Android от Google Play.

Вижте също: Уебинар на живо | Как да постигнете цели за нулево доверие с усъвършенствани стратегии за крайни точки

Наречен “Бахамут”, изследователи от фирмата за киберсигурност Открийте Най-малко осем версии на шпионски софтуер. Приложенията са използвани като част от злонамерена кампания, която използва троянски версии на две легитимни приложения – SoftVPN и OpenVPN. И в двата случая приложенията бяха преопаковани с шпионски софтуер Bahamut.

„Основната цел на модификациите на приложението е да извлича чувствителни потребителски данни и активно да шпионира приложенията за съобщения на жертвите“, казват изследователите.

Чувствителни данни се извличат чрез keylogging, злоупотреба с услугата за достъпност на Android. Освен това може активно да шпионира чат съобщения, обменяни чрез популярни приложения за съобщения, включително Signal, Viber, WhatsApp, Telegram и Facebook Messenger.

Групата за заплаха също така действа като наемна група, предоставяйки услуги за наемане на хакери, които включват услуги за шпионаж и дезинформация, насочени към нестопански организации и дипломати в Близкия изток и Южна Азия.

Неговите основни вектори на атака включват фишинг имейли и фалшиви приложения, предназначени да крадат чувствителна информация от своите жертви.

Злонамереното приложение се доставя чрез уебсайта thesecurevpn[.]com, който е пародия на истинския сайт securevpn, но му липсва съдържанието или дизайна на легитимна услуга SecureVPN (на домейна securevpn.com).

Това е КорвБен[.]com е регистриран на 27 януари 2022 г., но първоначалната дата на разпространение на фалшивото приложение SecureVPN е неизвестна.

Откакто шпионският софтуер Bahamut започна да се разпространява чрез уебсайтове, осем версии на шпионския софтуер бяха предоставени за изтегляне.

Списък с различни версии:

  • SecureVPN_104.apk;
  • SecureVPN_105.apk;
  • SecureVPN_106.apk;
  • SecureVPN_107.apk;
  • SecureVPN_108.apk;
  • SecureVPN_109.apk;
  • SecureVPN_1010.apk;
  • SecureVPN_1010b.apk.

През октомври 2020 г. изследователите на BlackBerry избрани Bahamut Group създаде няколко уебсайта с фалшиви новини, за да прокара дезинформационно съдържание. Те също така откриха фишинг инфраструктура и злонамерени приложения, инсталирани в официалните магазини на Google Play и Apple App и използвани за насочване към конкретни жертви и организации.

Тъй като груповите цели нямат единен модел, изследователите на Blackberry предполагат, че хакерите вероятно продават услугите си на предложилия най-висока цена.