- Výskumníci spoločnosti ESET odhalili aktívnu kybernetickú kampaň zacielenú na používateľov operačného systému Android, ktorú má na svedomí APT skupina Bahamut.
- Hlavným účelom spyvéra je získavanie citlivých dát používateľov a aktívne sledovanie aplikácií na komunikáciu ako WhatsApp, Facebook Messenger, Signal, Viber a Telegram.
- V mnohých prípadoch útočníci použili falošnú skompromitovanú verziu jednej z dvoch legitímnych aplikácií VPN služieb SoftVPN alebo OpenVPN, ktoré boli infikované spyvérom.
- Kybernetická kampaň sa javí ako mimoriadne cielená. Akonáhle je Bahamut spyvér spustený, vyžiada si ešte pred povolením VPN a sledovacej funkcionality aktivačný kľúč. Aktivačný kľúč spolu s linkom sa odošlú pravdepodobne iba obetiam, na ktoré útočníci cielia.
- Výskumníkom spoločnosti ESET sa podarilo identifikovať najmenej osem verzií týchto škodlivých aplikácií. To môže znamenať, že kampaň je dobre spravovaná.
Výskumníci spoločnosti ESET odhalili aktívnu kybernetickú kampaň zacielenú na používateľov operačného systému Android, ktorú má na svedomí APT skupina Bahamut. Táto kampaň trvá od začiatku roka. Škodlivé spyvérové aplikácie útočníci rozširujú prostredníctvom falošnej stránky služby SecureVPN, ktorá ponúka na stiahnutie výhradne skompromitované aplikácie pre Android. Táto stránka nemá nič spoločné s legitímnym multiplatformovým SecureVPN softvérom a službou. Škodlivé aplikácie použité v tejto kampani dokážu kradnúť kontakty, SMS správy, nahraté hovory a dokonca správy z aplikácií na chatovanie ako napríklad WhatsApp, Facebook Messenger, Signal, Viber a Telegram. Výskumníci spoločnosti ESET identifikovali najmenej osem verzií Bahmut spyvéru, čo môže znamenať, že kampaň je dobre spravovaná. Škodlivé aplikácie neboli nikdy k dispozícii na stiahnutie v obchode Google Play.
Falošná stránka služby SecureVPN ponúkajúca na stiahnutie škodlivú aplikáciu
„K exfiltrácii dát dochádza prostredníctvom funkcionality na zaznamenávanie stlačení klávesnice, ktorá zneužíva služby dostupnosti. Kampaň sa javí ako mimoriadne cielená, nakoľko sme tieto prípady nezaznamenali v rámci našej telemetrie,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý odhalil a analyzoval tento nebezpečný Android malvér.
„Aplikácia si navyše vypýta aktivačný kľúč ešte pred povolením VPN a sledovacej funkcionality,“ dodáva Lukáš Štefanko. Táto vrstva má za cieľ zabrániť spusteniu škodlivého kódu na zariadeniach osôb, ktoré nie sú v hľadáčiku útočníkov a chrániť ho pred analýzou bezpečnostnými expertmi. Výskumníci spoločnosti ESET zaznamenali podobnú formu ochrany aj v inej kampani z dielne skupiny Bahamut.
Všetky ukradnuté dáta sú ukladané do lokálnej databázy a následne odoslané na riadiaci server. Funkcionalita spyvéru zahŕňa schopnosť aktualizácie aplikácie po obdržaní odkazu na novú verziu z riadiaceho servera.
Ak je sledovacia funkcionalita povolená, útočníci dokážu spyvér ovládať na diaľku a získať rôzne citlivé dáta ako kontakty, SMS správy, zoznam hovorov, zoznam nainštalovaných aplikácií, polohu zariadenia, počet účtov, informácie o zariadení (typ internetového pripojenia, IMEI, IP, sériové číslo SIM karty), nahraté hovory a zoznam súborov na externom úložisku. Zneužitím služieb dostupnosti dokáže malvér kradnúť poznámky z aplikácie SafeNotes a aktívne sledovať správy a informácie o hovoroch v populárnych aplikáciách ako Facebook Messenger, Viber, Signal, WhatsApp, Telegram, WeChat, Conion či imo-International Calls & Chat.
APT skupina Bahamut používa na získanie prvotného prístupu k obetiam zvyčajne spearpishingové správy a falošné aplikácie. Medzi ciele APT skupiny patria najmä organizácie a jednotlivci na Blízkom východe a v južnej Ázii. Bahamut sa špecializuje na kybernetickú špionáž a výskumníci spoločnosti ESET sa nazdávajú, že cieľom skupiny je krádež citlivých dát. Skupina Bahamut je známa aj tým, že ponúka svoje služby širokej škále klientov. Skupinu, ktorá vyniká vo phishingových technikách, pomenovalo zoskupenie investigatívnych novinárov Bellingcat po obrovskej rybe brázdiacej Arabské more, spomenutej v knihe Fantastická zoológia od autora Jorgeho Luisa Borgesa. Bahamut je často v arabskej mytológií popisovaná ako nepredstaviteľné veľká ryba.
Viac technických informácií o najnovšej kampani APT skupiny Bahamut si môžete prečítať v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia výskumníkov spoločnosti ESET nájdete na Twitteri ESET research.
