Потребителите на Android в Близкия изток и Южна Азия са насочени от свързана с правителството група с шпионски софтуер, представящ се за VPN сайтове, според Нов доклад от ESET.
Изследователите установиха, че кампанията продължава от януари, като я приписват на прословутата група за напреднали постоянни заплахи (APT) Bahamut. Организацията не отговори на искания за коментар относно това от коя страна се смята, че е APT.
Шпионският софтуер се разпространява чрез фалшив SecureVPN уебсайт с приложения за Android. Зловреден софтуер не е свързан със SecureVPN, но се разпространява чрез две легитимни VPN приложения – SoftVPN или OpenVPN – които са преопаковани с шпионски код на Bahamut.
Ако шпионският софтуер е активиран, ESET каза, че може да бъде дистанционно контролиран от операторите на Bahamut, за да изтегли всякаква информация, която искат, включително потребителски контакти, SMS съобщения, записани телефонни обаждания, местоположение на устройството и дори чат съобщения от приложения като WhatsApp, Facebook Messenger, Signal, Viber и Telegram.
Изследователят на ESET Лукаш Щефанко каза, че процесът на извличане на данни се извършва чрез функцията за запис на клавиатурата на зловреден софтуер, което злоупотребява с услугите за достъпност.
“Изглежда, че кампанията е силно насочена, тъй като не виждаме никакви случаи в нашите телеметрични данни. Освен това приложението изисква ключ за активиране, преди да активира функционалността на VPN и шпионски софтуер.” „Възможно е както ключът за активиране, така и връзката към уебсайта да бъдат изпратени до целевите потребители.“
Тази функция спира зловреден софтуер веднага след стартиране на устройство на нецелеви потребител или когато бъде анализиран. ESET отбелязва, че това е функция, която групата Bahamut използва и преди.
ESET откри най-малко осем злонамерени версии на тези приложения с промени в кода и актуализации, достъпни чрез уебсайта за разпространение, което показва, че кампанията се поддържа добре.
ESET каза, че фалшивият уебсайт SecureVPN е създаден въз основа на a Безплатен уеб шаблон в който групата направи малки промени, за да изглежда легитимен.
„Мобилната кампания, ръководена от Bahamut APT Group, все още е активна; тя използва същия метод за разпространение на шпионски приложения за Android чрез уебсайтове, които се представят или маскират като легитимни услуги, както сме виждали в миналото“, пише Тифанко.
Освен това кодът на шпионския софтуер и следователно неговата функционалност са същите като в предишните кампании, включително събиране на данни, които да бъдат изтекли в локална база данни, преди да бъдат изпратени до сървъра на оператора, тактика, рядко срещана в мобилните приложения за кибершпионаж.
Острови Бахамут APT Дълго време е на радара От изследователи в областта на киберсигурността, с опаковки от охранителни фирми подчертават своите кампании през последните пет години. Групата обикновено публикува фалшиви съобщения и фалшиви приложения, насочени към организации и лица в Близкия изток и Южна Азия.