Grupo Bahamut cria aplicativos falsos de VPN para ataques altamente direcionado.

Um grupo de cibermercenários Bahamut está conduzindo uma campanha ativa para atingir os usuários do Android. Ele está distribuindo aplicativos maliciosos por meio de um site SecureVPN falso que fornece apenas aplicativos Android para download.

Sobre a campanha

Os pesquisadores da ESET descobriram pelo menos oito versões de aplicativos maliciosos que foram reempacotados com o código de spyware Bahamut. O vetor de distribuição inicial é desconhecido.

• Desde janeiro, esses aplicativos estão sendo distribuídos por meio de um site SecureVPN falso para distribuir malware; no entanto, esses aplicativos nunca estiveram disponíveis para download na Google Play Store.
• Bahamut colocou código malicioso em dois aplicativos VPN legítimos diferentes: SoftVPN e OpenVPN. O falso SecureVPN solicita uma chave de ativação antes de ativar as funções de VPN e spyware que impedem que caixas de proteção dinâmicas de análise de malware o sinalizem como um aplicativo malicioso.
• O grupo mudou de SoftVPN para OpenVPN porque o SoftVPN parou de funcionar ou ser mantido e não conseguiu mais criar conexões VPN. O ator garantiu que os aplicativos forneceriam funcionalidade VPN enquanto exfiltravam dados do dispositivo da vítima.

Motivo 

O código desses aplicativos é atualizado para extrair dados confidenciais do usuário e espionar ativamente os aplicativos de mensagens das vítimas. Bahamut usa indevidamente os serviços de acessibilidade para exfiltração de dados por meio da funcionalidade keylogging.

• Os dados filtrados incluem contatos, mensagens SMS, registros de chamadas, uma lista de aplicativos instalados, localização do dispositivo, contas do dispositivo, informações do dispositivo, chamadas telefônicas gravadas e uma lista de arquivos no armazenamento externo.
• Ele pode roubar anotações do aplicativo SafeNotes e espionar ativamente mensagens de bate-papo e informações sobre chamadas de aplicativos de mensagens populares, como Signal, Viber, WhatsApp, Telegram e Facebook Messenger.

Atribuição da campanha

Os pesquisadores encontraram semelhanças entre códigos e consultas SQL de pacotes SecureVPN falsos e pacotes de campanha SecureChat vistos anteriormente. Os pesquisadores Cyble e CoreSec360 atribuíram a campanha SecureChat ao grupo Bahamut.

Conclusão

Na campanha mais recente, Bahamut está tentando manter a discrição por meio de uma distribuição altamente direcionada. O grupo fornece serviços de aluguel de hackers e distribui seus aplicativos de spyware para Android por meio de sites que se fazem passar por serviços legítimos ou se disfarçam. A personificação do serviço VPN é um acréscimo aos seus recursos, o que o torna um ator terrível.