Die APT-Gruppe Bahamut hat es seit mindestens Januar 2022 über eine gefälschte SecureVPN-Website auf Android-Nutzer abgesehen.
Einem neuen Advisory von Eset zufolge handelt es sich bei der im Rahmen dieser bösartigen Kampagne verwendeten App um eine trojanisierte Version einer der beiden legitimen VPN-Apps SoftVPN oder OpenVPN. In beiden Fällen wurden die Anwendungen mit dem Spyware-Code von Bahamut neu verpackt.
„Wir konnten mindestens acht Versionen dieser böswillig gepatchten Anwendungen identifizieren, bei denen Code-Änderungen und Updates über die Distributions-Website zur Verfügung gestellt wurden, was bedeuten könnte, dass die Kampagne gut gepflegt wird“, schrieb Eset.
Die Sicherheitsforscher erklärten, dass der Hauptzweck der App-Änderungen darin bestand, sensible Nutzerdaten zu exfiltrieren und die Messaging-Apps der Opfer auszuspionieren.
Insbesondere konnten die gefälschten SecureVPN-Android-Apps sensible Daten wie SMS-Nachrichten, Kontakte, Anrufprotokolle, den Standort des Geräts und aufgezeichnete Telefongespräche auslesen.
Sie ermöglichten auch das Ausspionieren von Chat-Nachrichten in verschiedenen Messaging-Apps, darunter WhatsApp, Signal, Viber, Telegram und Facebook Messenger.
Die Datenexfiltration erfolgt über die Keylogging-Funktion der Malware, die sich auf die Erreichbarkeitsdienste von Android stützt. Eset vermutet, dass die Kampagne sehr zielgerichtet ist, da das Unternehmen in seinen Telemetriedaten keine Vorkommnisse festgestellt hat.
„Wir glauben, dass die Ziele sorgfältig ausgewählt werden, da die Bahamut-Spyware nach dem Start einen Aktivierungsschlüssel anfordert, bevor die VPN- und Spyware-Funktionen aktiviert werden können. Sowohl der Aktivierungsschlüssel als auch der Link zur Website werden wahrscheinlich an die Zielbenutzer gesendet“, heißt es in dem technischen Bericht.
Trotzdem wird in dem Advisory hervorgehoben, dass die APT-Gruppe Bahamut, die seit mindestens 2017 aktiv ist, in der Regel Unternehmen und Einzelpersonen im Nahen Osten und in Südasien angreift.
„Bahamut ist auf Cyberspionage spezialisiert, und wir glauben, dass es sein Ziel ist, sensible Informationen von seinen Opfern zu stehlen“, schreibt Eset. „Bahamut wird auch als Söldnergruppe bezeichnet, die einer breiten Palette von Kunden Hacking-Dienste anbietet.“
Der Hinweis des Unternehmens kommt Wochen, nachdem Sicherheitsforscher von Zimperium eine neue Android-Spyware-Familie mit dem Namen „RatMilad“ entdeckt haben, die versucht, ein Unternehmensgerät im Nahen Osten zu infizieren.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com