Группа кибернаемников Bahamut снова наносит удар с помощью поддельных приложений VPN на Android

Группа кибернаемников Bahamut снова наносит удар с помощью поддельных приложений VPN на Android. Фото: СС0

Вредоносные атаки запускаются через поддельные приложения Android VPN , и есть доказательства того, что хакеры использовали заражённые версии программного обеспечения SecureVPN , SoftVPN и OpenVPN. 

Группа, известная как Bahamut ATP, считается службой по найму, которая обычно запускает атаки с помощью целевых фишинговых сообщений и поддельных приложений. Согласно предыдущим сообщениям, с 2016 года хакеры атакуют организации и отдельных лиц на Ближнем Востоке и в Южной Азии. 

По оценкам исследователей ESET, кампания по распространению вредоносных VPN , которая началась в январе 2022 года, в настоящее время продолжается.

Из сообщения исследователя ESET Лукаша Штефанко:

«Кампания выглядит очень целенаправленной. Кроме того, приложение запрашивает ключ активации, прежде чем можно будет включить функции VPN и шпионского ПО. И ключ активации, и ссылка на веб-сайт, скорее всего, будут отправлены целевым пользователям».

Штефанко объясняет, что после активации приложения хакеры Bahamut могут удаленно управлять шпионским ПО. Это означает, что они могут проникать и собирать массу конфиденциальных данных пользователей.

Из сообщения исследователя ESET Лукаша Штефанко:

«Эксфильтрация данных осуществляется с помощью функции кейлогинга вредоносного ПО, которое злоупотребляет службами специальных возможностей».

Киберпреступники могут шпионить практически за всем, что они нашли на устройствах жертв, без их ведома. В этом списке SMS-сообщения, журналы вызовов, местонахождение устройств и любая другая информация даже из зашифрованных приложений для обмена сообщениями, таких как WhatsApp , Telegram или Signal.

ESET выявила как минимум восемь версий этих троянских VPN-сервисов , а это означает, что кампания хорошо поддерживается. 

Стоит отметить, что ни в одном случае вредоносное ПО не было связано с законным сервисом, и ни одно из зараженных вредоносным ПО приложений не продвигалось в Google Play. 

Однако начальный вектор распределения пока неизвестен. Анализируя историю действий Bahamut ATP, специалисты предполагают, что вредоносная ссылка могла быть отправлена ​​по электронной почте, через социальные сети или SMS. Несмотря на то, что до сих пор неясно, кто стоит за этим, Bahamut ATP, похоже, является коллективом хакеров-наемников, поскольку их атаки на самом деле не преследуют конкретных политических интересов.

С 2016 года Bahamut активно проводит кибершпионские кампании, в основном на Ближнем Востоке и в Южной Азии. 

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Фонд «Сколково» и «РТК-Солар» объявили победителей всероссийского конкурса по кибербезопасности.
• Новое предложение Azure для малого бизнеса нацелено на преодоление DDoS-атак.
• Google Looker Studio используется для продвижения вредоносных сайтов.
• Хакеры хранят вредоносное ПО в законных облачных сервисах для обхода защиты.