Eine ruchlose Gruppe von Cyber-Söldnern injiziert Spyware in Android-Geräte, um die Unterhaltungen der Benutzer zu stehlen, bestätigt eine neue ESET-Forschung (wird in einem neuen Tab geöffnet).
Diese Malware-Angriffe werden über gefälschte Android-VPN-Apps gestartet. Beweise deuten darauf hin, dass die Hacker bösartige Versionen der SecureVPN-, SoftVPN- und OpenVPN-Software verwendet haben.
Die als Bahamut ATP bekannte Gruppe wird als Dienstleister angesehen, der normalerweise Angriffe über Phishing-Nachrichten und gefälschte Apps startet. Laut früheren Berichten zielen seine Hacker seit 2016 sowohl auf Organisationen als auch auf Einzelpersonen im Nahen Osten und in Südasien ab.
Die Forscher von ESET, die schätzungsweise im Januar 2022 begonnen haben, gehen davon aus, dass die Kampagne der bösartigen VPN-Vertriebsgruppe derzeit noch andauert.
Von Phishing-E-Mails bis hin zu gefälschten VPNs
„Die Kampagne scheint sehr zielgerichtet zu sein, da wir in unseren Telemetriedaten keine Fälle sehen“, sagte Lukáš Štefanko, der ESET-Forscher, der die Malware entdeckt hat.
„Außerdem fordert die App einen Aktivierungsschlüssel an, bevor die VPN-Funktionalität und Spyware aktiviert werden können. Der Aktivierungsschlüssel und der Website-Link werden wahrscheinlich an die Zielbenutzer gesendet.“
Štefanko erklärt, dass Bahamut-Hacker die Spyware fernsteuern können, sobald die App aktiviert ist. Dies bedeutet, dass sie in der Lage sind, eine Menge sensibler Benutzerdaten zu infiltrieren und zu sammeln.
„Die Datenexfiltration erfolgt über die Keylogging-Funktion der Malware, die Barrierefreiheitsdienste missbraucht“, sagte er.
Ob es sich um SMS-Nachrichten, Anrufprotokolle, Gerätestandorte und andere Details oder sogar verschlüsselte Messaging-Apps wie WhatsApp, Telegram oder Signal handelt, diese Cyberkriminellen können ohne ihr Wissen praktisch alles ausspionieren, was sie auf den Geräten der Opfer finden.
ESET hat mindestens acht mit Trojanern infizierte Versionen dieser VPN-Dienste identifiziert, was bedeutet, dass die Kampagne gut gepflegt wird.
Es sollte beachtet werden, dass in keinem Fall Malware mit dem legitimen Dienst in Verbindung gebracht wurde und keine der mit Malware infizierten Apps bei Google Play beworben wurde.
Der anfängliche Verbreitungsvektor ist jedoch noch unbekannt. Wenn man sich ansieht, wie Bahamut ATP normalerweise funktioniert, könnte ein schädlicher Link per E-Mail, Social Media oder SMS gesendet worden sein.
Was wissen wir über Bahamut APT?
Auch wenn noch unklar ist, wer dahintersteckt, scheint Bahamut ATP ein Hacker-Söldnerkollektiv zu sein, da ihre Angriffe eigentlich keinem bestimmten politischen Interesse folgen.
Bahamut führt seit 2016 produktive Cyberspionagekampagnen durch, hauptsächlich im Nahen Osten und in Südasien.
Die investigative Journalistengruppe Bellingcat war die erste, die ihre Operationen im Jahr 2017 offenlegte und beschrieb, wie internationale und regionale Mächte aktiv an solchen Überwachungsoperationen beteiligt waren.
„Bahamut ist daher als eine Zukunftsvision bemerkenswert, in der moderne Kommunikationsmittel die Hürden für kleine Länder gesenkt haben, um nationale Dissidenten effektiv zu überwachen und über ihre Grenzen hinaus zu expandieren“, schloss Bellingcat damals (öffnet in einem neuen Tab).
Später wurde die Gruppe in Bahamut umbenannt, zu Ehren des riesigen Fisches, der im Arabischen Meer schwimmt und in Jorge Luis Borges' Buch der imaginären Wesen beschrieben wird.
In jüngerer Zeit haben andere Untersuchungen hervorgehoben, wie sich die Advanced Persistent Threat (APT)-Gruppe zunehmend mobilen Geräten als Hauptziel zuwendet.
Das Cybersicherheitsunternehmen Cyble entdeckte diesen neuen Trend erstmals im vergangenen April (öffnet sich in einem neuen Tab) und stellte fest, dass die Bahamut-Gruppe „ihren Angriff gegen das Ziel plant, eine Weile im Verborgenen bleibt, zulässt, dass ihr Angriff viele Menschen und Organisationen betrifft, und letztendlich …“ stiehlt ihre Daten.
Auch in diesem Fall hoben die Forscher die Fähigkeit von Cyberkriminellen hervor, eine Phishing-Site zu entwickeln, die so gut darauf ausgelegt ist, Opfer zu täuschen und ihr Vertrauen zu gewinnen.
Wie Lukáš Štefanko für den Vorfall mit betrügerischen Android-Apps bestätigte: „Der Spyware-Code und damit seine Funktionalität sind die gleichen wie in früheren Kampagnen, einschließlich der Sammlung von Daten, die in einer Datenbank exfiltriert werden sollen.“ Daten, bevor sie an die Betreiber gesendet werden '-Server, eine Taktik, die bei mobilen Cyberspionageanwendungen selten vorkommt.
