Потребителите на Android в Близкия изток и Южна Азия са насочени към шпионски софтуер, представящ се за фалшиви VPN приложения

Потребителите на Android в Близкия изток и Южна Азия са насочени от свързана с правителството група с шпионски софтуер, представящ се за VPN сайтове, според Нов доклад от ESET.

Изследователите установиха, че кампанията продължава от януари, като я приписват на прословутата група за напреднали постоянни заплахи (APT) Bahamut. Организацията не отговори на искания за коментар относно това от коя страна се смята, че е APT.

Изображение: ESET

Шпионският софтуер се разпространява чрез фалшив SecureVPN уебсайт с приложения за Android. Зловреден софтуер не е свързан със SecureVPN, но се разпространява чрез две легитимни VPN приложения – SoftVPN или OpenVPN – които са преопаковани с шпионски код на Bahamut.

Ако шпионският софтуер е активиран, ESET каза, че може да бъде дистанционно контролиран от операторите на Bahamut, за да изтегли всякаква информация, която искат, включително потребителски контакти, SMS съобщения, записани телефонни обаждания, местоположение на устройството и дори чат съобщения от приложения като WhatsApp, Facebook Messenger, Signal, Viber и Telegram.

Изследователят на ESET Лукаш Щефанко каза, че процесът на извличане на данни се извършва чрез функцията за запис на клавиатурата на зловреден софтуер, което злоупотребява с услугите за достъпност.

“Изглежда, че кампанията е силно насочена, тъй като не виждаме никакви случаи в нашите телеметрични данни. Освен това приложението изисква ключ за активиране, преди да активира функционалността на VPN и шпионски софтуер.” „Възможно е както ключът за активиране, така и връзката към уебсайта да бъдат изпратени до целевите потребители.“

Тази функция спира зловреден софтуер веднага след стартиране на устройство на нецелеви потребител или когато бъде анализиран. ESET отбелязва, че това е функция, която групата Bahamut използва и преди.

ESET откри най-малко осем злонамерени версии на тези приложения с промени в кода и актуализации, достъпни чрез уебсайта за разпространение, което показва, че кампанията се поддържа добре.

Изображение: ESET

ESET каза, че фалшивият уебсайт SecureVPN е създаден въз основа на a Безплатен уеб шаблон в който групата направи малки промени, за да изглежда легитимен.

„Мобилната кампания, ръководена от Bahamut APT Group, все още е активна; тя използва същия метод за разпространение на шпионски приложения за Android чрез уебсайтове, които се представят или маскират като легитимни услуги, както сме виждали в миналото“, пише Тифанко.

Освен това кодът на шпионския софтуер и следователно неговата функционалност са същите като в предишните кампании, включително събиране на данни, които да бъдат изтекли в локална база данни, преди да бъдат изпратени до сървъра на оператора, тактика, рядко срещана в мобилните приложения за кибершпионаж.

Острови Бахамут APT Дълго време е на радара От изследователи в областта на киберсигурността, с опаковки от охранителни фирми подчертават своите кампании през последните пет години. Групата обикновено публикува фалшиви съобщения и фалшиви приложения, насочени към организации и лица в Близкия изток и Южна Азия.

Джонатан работи като журналист по целия свят от 2014 г. Преди да се върне в Ню Йорк, той е работил за новинарски издания в Южна Африка, Йордания и Камбоджа. Преди това той покриваше киберсигурността в ZDNet и TechRepublic.