Un nefasto gruppo di mercenari informatici sta iniettando spyware nei dispositivi Android per rubare le conversazioni degli utenti, conferma una nuova ricerca ESET (opens in a new tab).
Questi attacchi malware vengono lanciati tramite false app VPN Android. Le prove suggeriscono che gli hacker hanno utilizzato versioni dannose del software SecureVPN, SoftVPN e OpenVPN.
Conosciuto come Bahamut ATP, il gruppo è visto come un servizio a noleggio che in genere lancia attacchi tramite messaggi di phishing e app false. Secondo rapporti precedenti, i suoi hacker hanno preso di mira sia organizzazioni che individui in Medio Oriente e Asia meridionale dal 2016.
Si stima che sia iniziata nel gennaio 2022, i ricercatori ESET ritengono che la campagna del gruppo di distribuzione VPN dannoso sia attualmente in corso.
Dalle e-mail di phishing alle false VPN
"La campagna sembra essere altamente mirata, poiché non vediamo alcun caso nei nostri dati di telemetria", ha affermato Lukáš Štefanko, il ricercatore ESET che ha scoperto il malware.
"Inoltre, l'app richiede una chiave di attivazione prima che la funzionalità VPN e lo spyware possano essere attivati. È probabile che la chiave di attivazione e il collegamento al sito web vengano inviati agli utenti interessati."
Štefanko spiega che una volta attivata l'app, gli hacker di Bahamut possono controllare lo spyware da remoto. Ciò significa che sono in grado di infiltrarsi e raccogliere una tonnellata di dati utente sensibili.
"L'esfiltrazione dei dati avviene attraverso la funzione di keylogging del malware, che abusa dei servizi di accessibilità", ha affermato.
Che si tratti di messaggi SMS, registri delle chiamate, posizioni dei dispositivi e qualsiasi altro dettaglio, o persino app di messaggistica crittografate come WhatsApp, Telegram o Signal, questi criminali informatici possono spiare praticamente tutto ciò che trovano sui dispositivi delle vittime a loro insaputa.
ESET ha identificato almeno otto versioni infette da Trojan di questi servizi VPN, il che significa che la campagna è ben mantenuta.
Va notato che in nessun caso il malware è stato associato al servizio legittimo e nessuna delle app infette da malware è stata promossa su Google Play.
Tuttavia, il vettore di distribuzione iniziale è ancora sconosciuto. Guardando come funziona normalmente Bahamut ATP, un collegamento dannoso potrebbe essere stato inviato via e-mail, social media o SMS.
Cosa sappiamo di Bahamut APT?
Sebbene non sia ancora chiaro chi ci sia dietro, Bahamut ATP sembra essere un collettivo di hacker mercenari, poiché i loro attacchi non seguono in realtà alcun interesse politico specifico.
Bahamut conduce prolifiche campagne di spionaggio informatico dal 2016, principalmente in Medio Oriente e nell'Asia meridionale.
Il gruppo di giornalismo investigativo Bellingcat è stato il primo a denunciare le sue operazioni nel 2017, descrivendo come le potenze internazionali e regionali siano state attivamente coinvolte in tali operazioni di sorveglianza.
"Bahamut è quindi notevole come una visione del futuro in cui le comunicazioni moderne hanno abbassato le barriere per i piccoli paesi per condurre un'efficace sorveglianza dei dissidenti nazionali ed espandersi oltre i loro confini", ha concluso Bellingcat (si apre in una nuova scheda) in quel momento.
Successivamente, il gruppo è stato ribattezzato Bahamut, in onore del pesce gigante che galleggia nel Mar Arabico descritto nel Libro degli esseri immaginari di Jorge Luis Borges.
Più recentemente, altre ricerche hanno evidenziato come il gruppo Advanced Persistent Threat (APT) si stia rivolgendo sempre più ai dispositivi mobili come obiettivo principale.
La società di sicurezza informatica Cyble ha individuato per la prima volta questa nuova tendenza lo scorso aprile (si apre in una nuova scheda), osservando che il gruppo Bahamut "pianifica il suo attacco contro l'obiettivo, rimane allo stato brado per un po', consente che il suo attacco colpisca molte persone e organizzazioni e, infine, ruba i loro dati.
Anche in questo caso, i ricercatori hanno evidenziato la capacità dei cybercriminali di sviluppare un sito di phishing così ben progettato per ingannare le vittime e conquistarne la fiducia.
Come confermato da Lukáš Štefanko per l'incidente delle app Android canaglia: "Il codice dello spyware, e quindi la sua funzionalità, è lo stesso delle precedenti campagne, compresa la raccolta dei dati da esfiltrare in un database." dati prima di inviarli agli operatori ' server, una tattica raramente vista nelle applicazioni di spionaggio informatico mobile.
