Группа кибернаемников Bahamut снова наносит удар с помощью поддельных приложений VPN на Android
Группа кибернаемников Bahamut снова наносит удар с помощью поддельных приложений VPN на Android. Фото: СС0
Вредоносные атаки запускаются через поддельные приложения Android VPN , и есть доказательства того, что хакеры использовали заражённые версии программного обеспечения SecureVPN , SoftVPN и OpenVPN.
Группа, известная как Bahamut ATP, считается службой по найму, которая обычно запускает атаки с помощью целевых фишинговых сообщений и поддельных приложений. Согласно предыдущим сообщениям, с 2016 года хакеры атакуют организации и отдельных лиц на Ближнем Востоке и в Южной Азии.
По оценкам исследователей ESET, кампания по распространению вредоносных VPN , которая началась в январе 2022 года, в настоящее время продолжается.
Из сообщения исследователя ESET Лукаша Штефанко:
«Кампания выглядит очень целенаправленной. Кроме того, приложение запрашивает ключ активации, прежде чем можно будет включить функции VPN и шпионского ПО. И ключ активации, и ссылка на веб-сайт, скорее всего, будут отправлены целевым пользователям».
Штефанко объясняет, что после активации приложения хакеры Bahamut могут удаленно управлять шпионским ПО. Это означает, что они могут проникать и собирать массу конфиденциальных данных пользователей.
Из сообщения исследователя ESET Лукаша Штефанко:
«Эксфильтрация данных осуществляется с помощью функции кейлогинга вредоносного ПО, которое злоупотребляет службами специальных возможностей».
Киберпреступники могут шпионить практически за всем, что они нашли на устройствах жертв, без их ведома. В этом списке SMS-сообщения, журналы вызовов, местонахождение устройств и любая другая информация даже из зашифрованных приложений для обмена сообщениями, таких как WhatsApp , Telegram или Signal.
ESET выявила как минимум восемь версий этих троянских VPN-сервисов , а это означает, что кампания хорошо поддерживается.
Стоит отметить, что ни в одном случае вредоносное ПО не было связано с законным сервисом, и ни одно из зараженных вредоносным ПО приложений не продвигалось в Google Play.
Однако начальный вектор распределения пока неизвестен. Анализируя историю действий Bahamut ATP, специалисты предполагают, что вредоносная ссылка могла быть отправлена по электронной почте, через социальные сети или SMS. Несмотря на то, что до сих пор неясно, кто стоит за этим, Bahamut ATP, похоже, является коллективом хакеров-наемников, поскольку их атаки на самом деле не преследуют конкретных политических интересов.
С 2016 года Bahamut активно проводит кибершпионские кампании, в основном на Ближнем Востоке и в Южной Азии.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- Фонд «Сколково» и «РТК-Солар» объявили победителей всероссийского конкурса по кибербезопасности.
- Новое предложение Azure для малого бизнеса нацелено на преодоление DDoS-атак.
- Google Looker Studio используется для продвижения вредоносных сайтов.
- Хакеры хранят вредоносное ПО в законных облачных сервисах для обхода защиты.
Комментариев пока не было