Die unter dem Namen Bahamut bekannte Cyberspionagegruppe wird für eine gezielte Kampagne verantwortlich gemacht, die Nutzer von Android-Geräten mit bösartigen Apps infiziert, um sensible Informationen abzugreifen.
Die Aktivität, die seit Januar 2022 aktiv ist, beinhaltet die Verbreitung von bösartigen VPN-Apps über eine gefälschte SecureVPN-Website, die zu diesem Zweck eingerichtet wurde, so das slowakische Cybersicherheitsunternehmen ESET in einem neuen Bericht, der mit The Hacker News geteilt wurde.
Bisher wurden mindestens acht verschiedene Varianten der Spyware-Apps entdeckt, bei denen es sich um trojanisierte Versionen von legitimen VPN-Apps wie SoftVPN und OpenVPN handelt.
Die manipulierten Apps und ihre Updates werden über die betrügerische Website an die Benutzer verteilt. Es wird auch vermutet, dass die Ziele sorgfältig ausgewählt werden, da das Opfer beim Starten der App einen Aktivierungsschlüssel eingeben muss, um die Funktionen zu aktivieren.
Dies bedeutet, dass ein unbestimmter Verbreitungsvektor verwendet wird, obwohl frühere Beweise zeigen, dass dies in Form von Spear-Phishing-E-Mails, SMS-Nachrichten oder Direktnachrichten auf Social-Media-Apps geschehen könnte.
Der Aktivierungsschlüssel-Mechanismus ist außerdem so konzipiert, dass er mit einem von einem Akteur kontrollierten Server kommuniziert, wodurch verhindert wird, dass die Malware versehentlich direkt nach dem Start auf einem nicht zielgerichteten Benutzergerät ausgelöst wird.
Bahamut wurde 2017 von Bellingcat als eine Hack-for-Hire-Operation entlarvt, die es mit bösartigen Android- und iOS-Apps auf Regierungsbeamte, Menschenrechtsgruppen und andere hochrangige Einrichtungen in Südasien und dem Nahen Osten abgesehen hatte, um ihre Opfer auszuspionieren.
„Der vielleicht auffälligste Aspekt der Vorgehensweise von Bahamut, den BlackBerry entdeckt hat, ist die Verwendung origineller, sorgfältig gestalteter Websites, Anwendungen und Personas durch die Gruppe“, stellte BlackBerry im Oktober 2020 fest.
Zu Beginn dieses Jahres beschrieb Cyble zwei Phishing-Angriffe, die von der Gruppe durchgeführt wurden, um gefälschte Android-Apps zu verbreiten, die sich als Chat-Anwendungen ausgaben.
Die jüngste Welle folgt einem ähnlichen Muster: Nutzer werden dazu verleitet, scheinbar harmlose VPN-Apps zu installieren, die eine Vielzahl von Informationen ausspähen können, darunter Dateien, Kontaktlisten, SMS, Aufzeichnungen von Telefonaten, Standorte und Nachrichten von WhatsApp, Facebook Messenger, Signal, Viber, Telegram und WeChat.
„Die Datenexfiltration erfolgt über die Keylogging-Funktion der Malware, die Zugriffsdienste missbraucht“, so ESET-Forscher Lukáš Štefanko.
Ein Zeichen dafür, dass die Kampagne gut gepflegt wird, ist, dass der Bedrohungsakteur den bösartigen Code zunächst in der SoftVPN-Anwendung verpackt hatte, bevor er zu OpenVPN wechselte, was sich dadurch erklärt, dass die eigentliche SoftVPN-Anwendung nicht mehr funktionierte und es nicht mehr möglich war, eine VPN-Verbindung herzustellen.
„Die von der Bahamut APT-Gruppe betriebene mobile Kampagne ist nach wie vor aktiv; sie verwendet dieselbe Methode zur Verbreitung ihrer Android-Spyware-Apps über Websites, die sich als legitime Dienste ausgeben oder tarnen, wie es in der Vergangenheit der Fall war“, so Štefanko weiter.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com