Киберпрестъпност
И на
Киберпрестъпността като услуга
И на
Управление на измами и киберпрестъпления
Злонамерените приложения могат да източват информация от Signal, Viber и Telegram
Изследователите на Eset казаха, че групата за хакване под наем разпространява злонамерени приложения чрез фалшив уебсайт SecureVPN, който позволява изтегляне на приложения за Android от Google Play.
Вижте също: Уебинар на живо | Как да постигнете цели за нулево доверие с усъвършенствани стратегии за крайни точки
Наречен “Бахамут”, изследователи от фирмата за киберсигурност Открийте Най-малко осем версии на шпионски софтуер. Приложенията са използвани като част от злонамерена кампания, която използва троянски версии на две легитимни приложения – SoftVPN и OpenVPN. И в двата случая приложенията бяха преопаковани с шпионски софтуер Bahamut.
„Основната цел на модификациите на приложението е да извлича чувствителни потребителски данни и активно да шпионира приложенията за съобщения на жертвите“, казват изследователите.
Чувствителни данни се извличат чрез keylogging, злоупотреба с услугата за достъпност на Android. Освен това може активно да шпионира чат съобщения, обменяни чрез популярни приложения за съобщения, включително Signal, Viber, WhatsApp, Telegram и Facebook Messenger.
Групата за заплаха също така действа като наемна група, предоставяйки услуги за наемане на хакери, които включват услуги за шпионаж и дезинформация, насочени към нестопански организации и дипломати в Близкия изток и Южна Азия.
Неговите основни вектори на атака включват фишинг имейли и фалшиви приложения, предназначени да крадат чувствителна информация от своите жертви.
Злонамереното приложение се доставя чрез уебсайта thesecurevpn[.]com, който е пародия на истинския сайт securevpn, но му липсва съдържанието или дизайна на легитимна услуга SecureVPN (на домейна securevpn.com).
Това е КорвБен[.]com е регистриран на 27 януари 2022 г., но първоначалната дата на разпространение на фалшивото приложение SecureVPN е неизвестна.
Откакто шпионският софтуер Bahamut започна да се разпространява чрез уебсайтове, осем версии на шпионския софтуер бяха предоставени за изтегляне.
Списък с различни версии:
- SecureVPN_104.apk;
- SecureVPN_105.apk;
- SecureVPN_106.apk;
- SecureVPN_107.apk;
- SecureVPN_108.apk;
- SecureVPN_109.apk;
- SecureVPN_1010.apk;
- SecureVPN_1010b.apk.
През октомври 2020 г. изследователите на BlackBerry избрани Bahamut Group създаде няколко уебсайта с фалшиви новини, за да прокара дезинформационно съдържание. Те също така откриха фишинг инфраструктура и злонамерени приложения, инсталирани в официалните магазини на Google Play и Apple App и използвани за насочване към конкретни жертви и организации.
Тъй като груповите цели нямат единен модел, изследователите на Blackberry предполагат, че хакерите вероятно продават услугите си на предложилия най-висока цена.