Eine ruchlose Gruppe von Cyber-Söldnern injiziert Spyware in Android-Geräte, um die Unterhaltungen der Benutzer zu stehlen, bestätigt eine neue ESET-Forschung (wird in einem neuen Tab geöffnet).

Diese Malware-Angriffe werden über gefälschte Android-VPN-Apps gestartet. Beweise deuten darauf hin, dass die Hacker bösartige Versionen der SecureVPN-, SoftVPN- und OpenVPN-Software verwendet haben.

Die als Bahamut ATP bekannte Gruppe wird als Dienstleister angesehen, der normalerweise Angriffe über Phishing-Nachrichten und gefälschte Apps startet. Laut früheren Berichten zielen seine Hacker seit 2016 sowohl auf Organisationen als auch auf Einzelpersonen im Nahen Osten und in Südasien ab.

Die Forscher von ESET, die schätzungsweise im Januar 2022 begonnen haben, gehen davon aus, dass die Kampagne der bösartigen VPN-Vertriebsgruppe derzeit noch andauert.

Schädliche Website zum Herunterladen einer gefälschten SecureVPN-App

(Bildnachweis: ESET Research)

Von Phishing-E-Mails bis hin zu gefälschten VPNs

„Die Kampagne scheint sehr zielgerichtet zu sein, da wir in unseren Telemetriedaten keine Fälle sehen“, sagte Lukáš Štefanko, der ESET-Forscher, der die Malware entdeckte.

„Außerdem fragt die App nach einem Aktivierungsschlüssel, bevor die VPN-Funktionalität und Spyware aktiviert werden können. Der Aktivierungsschlüssel und der Website-Link werden wahrscheinlich an die Zielbenutzer gesendet.“

Štefanko erklärt, dass Bahamut-Hacker die Spyware fernsteuern können, sobald die App aktiviert ist. Dies bedeutet, dass sie in der Lage sind, eine Menge sensibler Benutzerdaten zu infiltrieren und zu sammeln.

„Die Datenexfiltration erfolgt über die Keylogging-Funktion der Malware, die Zugangsdienste missbraucht“, sagte er.

Ob es sich um SMS-Nachrichten, Anrufprotokolle, Gerätestandorte und andere Details oder sogar verschlüsselte Messaging-Apps wie WhatsApp, Telegram oder Signal handelt, diese Cyberkriminellen können ohne ihr Wissen praktisch alles ausspionieren, was sie auf den Geräten der Opfer finden.

ESET hat mindestens acht mit Trojanern infizierte Versionen dieser VPN-Dienste identifiziert, was bedeutet, dass die Kampagne gut gepflegt wird.

Es sollte beachtet werden, dass in keinem Fall Malware mit dem legitimen Dienst in Verbindung gebracht wurde und keine der mit Malware infizierten Apps bei Google Play beworben wurde.

Der anfängliche Verbreitungsvektor ist jedoch noch unbekannt. Wenn man sich ansieht, wie Bahamut ATP normalerweise funktioniert, könnte ein schädlicher Link per E-Mail, Social Media oder SMS gesendet worden sein.

Was wissen wir über Bahamut APT?

Auch wenn noch unklar ist, wer dahintersteckt, scheint Bahamut ATP ein Hacker-Söldnerkollektiv zu sein, da ihre Angriffe eigentlich keinem bestimmten politischen Interesse folgen.

Bahamut führt seit 2016 produktive Cyberspionagekampagnen durch, hauptsächlich im Nahen Osten und in Südasien.

Die investigative Journalistengruppe Bellingcat war die erste, die ihre Operationen im Jahr 2017 offenlegte und beschrieb, wie internationale und regionale Mächte aktiv an solchen Überwachungsoperationen beteiligt waren.

„Bahamut ist daher bemerkenswert als Vision der Zukunft, in der moderne Kommunikationsmittel die Barrieren für kleine Länder gesenkt haben, um eine effektive Überwachung nationaler Dissidenten durchzuführen und über ihre Grenzen hinaus zu expandieren“, schloss Bellingcat damals.

Später wurde die Gruppe in Bahamut umbenannt, zu Ehren des riesigen Fisches, der im Arabischen Meer schwimmt und in Jorge Luis Borges' Buch der imaginären Wesen beschrieben wird.

Künstlerische Darstellung eines Hackers

(Bildnachweis: Shutterstock)

In jüngerer Zeit haben andere Untersuchungen hervorgehoben, wie sich die Advanced Persistent Threat (APT)-Gruppe zunehmend mobilen Geräten als Hauptziel zuwendet.

Das Cybersicherheitsunternehmen Cyble entdeckte diesen neuen Trend erstmals im vergangenen April (wird in einem neuen Tab geöffnet) und stellte fest, dass die Bahamut-Gruppe „ihren Angriff auf das Ziel plant, eine Weile wild bleibt, zulässt, dass sein Angriff viele Menschen und Organisationen betrifft, und schließlich ihre stiehlt Daten.

Auch in diesem Fall hoben die Forscher die Fähigkeit von Cyberkriminellen hervor, eine Phishing-Site zu entwickeln, die so gut darauf ausgelegt ist, Opfer zu täuschen und ihr Vertrauen zu gewinnen.

Wie von Lukáš Štefanko für den Vorfall mit gefälschten Android-Apps bestätigt: „Der Spyware-Code und damit seine Funktionalität ist derselbe wie in früheren Kampagnen, einschließlich der Sammlung von Daten, die in eine Datenbank exfiltriert werden sollen, bevor sie an den Server des Betreibers gesendet werden . , eine Taktik, die bei mobilen Cyberspionageanwendungen selten vorkommt.

1644785069 141 So sehen Sie Super Bowl 2022 online kostenlos live

Teilen Sie es