InicioTecnologíaCiberseguridadReportan ataques a usuarios de Android mediante Apps falsas de VPN

Reportan ataques a usuarios de Android mediante Apps falsas de VPN

El grupo de Bahamut distribuyó versiones troyanizadas de SoftVPN y OpenVPN

El equipo de investigación de ESET reportó una nueva campaña maliciosa en curso que va dirigida a usuarios de Android, que simula ser un sitio web de descarga de Apps para VPN. Según el informe, esta campaña sería realizada por APT Bahamut, un grupo cibercriminal conocido por sus ataques de Phishing.

El equipo de investigación descubrió al menos ocho versiones del spyware Bahamut. El malware se distribuye a través de un sitio web falso de SecureVPN, bajo la forma de versiones troyanizadas de dos aplicaciones populares legítimas: SoftVPN y OpenVPN. Si bien, estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play, si aparecieron en otros portales.

Al instalar esta aplicación falsa, el malware tiene la capacidad de filtrar datos confidenciales del equipo de la víctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas. También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger.

La extracción de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad. En el reporte, se indica que la campaña ha estado activa desde enero de 2022, distribuyendo aplicaciones a través del sitio web falso (thesecurevpn[.]com), que no tiene afiliación con el servicio SecureVPN legítimo (en el dominio securevpn.com).

«La campaña dirigida a dispositivos móviles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo método para distribuir sus aplicaciones de spyware para Android: a través de sitios web que se hacen pasar por servicios legítimos, como se ha visto en el pasado«, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, en el comunicado

«Además, el código del spyware y, por lo tanto, su funcionalidad, es la misma que en campañas anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una táctica que rara vez se ve en las aplicaciones móviles para ciberespionaje«, continuó.

Puntos clave obtenidos por ESET

  • El objetivo principal de las modificaciones realizadas a la aplicación es extraer datos confidenciales de la víctima y espiar activamente las aplicaciones de mensajería que utiliza.
  • Se cree que los objetivos apuntados por los actores maliciosos son elegidos cuidadosamente, ya que una vez que se inicia el spyware Bahamut, solicita una clave de activación antes de que se pueda habilitar la funcionalidad de VPN y spyware. Es probable que tanto la clave de activación como el enlace del sitio web se envíen a usuarios específicos.
  • Se desconoce el vector de distribución inicial (correo electrónico, redes sociales, aplicaciones de mensajería, SMS, etc.).
  • La aplicación utilizada son versiones troyanizadas de dos apps de VPN legítimas, SoftVPN u OpenVPN, que se volvieron a empaquetar con el código del spyware Bahamut, el cual fue utilizado en el pasado por el grupo Bahamut.
  • ESET identificó al menos ocho versiones de estas aplicaciones parcheadas maliciosamente con cambios de código y actualizaciones disponibles a través del sitio web de distribución, lo que podría significar que la campaña recibe mantenimiento.

Puntos de ataque

Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:

  • contactos,
  • mensajes SMS,
  • registros de llamadas,
  • una lista de aplicaciones instaladas,
  • ubicación del dispositivo,
  • cuentas de dispositivo,
  • información del dispositivo (tipo de conexión a Internet, IMEI, IP, número de serie de SIM),
  • llamadas telefónicas grabadas y
  • una lista de los archivos en el almacenamiento externo.

Al abusar del servicio de accesibilidad, el malware puede robar notas de la aplicación SafeNotes y espiar activamente los mensajes de chat e información sobre llamadas en aplicaciones de mensajería muy populares, como:

  • imo-International Calls & Chat
  • Facebook Messenger
  • Viber
  • Signal Private Messenger
  • WhatsApp
  • Telegram
  • WeChat
  • Conion.

Perfil del grupo atacante

Respecto al grupo de APT Bahamut, este generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia, utilizando como vector de ataque mensajes de phishing y aplicaciones falsas.

Bahamut se especializa en ciberespionaje, y se cree que su objetivo es robar información sensible de sus víctimas. Bahamut también se conoce como un grupo de mercenarios que ofrece servicios de piratería a sueldo a una amplia gama de clientes. 

Darío "Kentaro Darkdox" Pérez
Darío "Kentaro Darkdox" Pérez
Asesor, OT, Juez y Consultor Externo de Video Games/Cosplay • Informático de profesión • Google Local Guide lvl 7 •

Próximos eventos

¡Siguenos!

16,865FansMe gusta
1,841SeguidoresSeguir
650SeguidoresSeguir
784SeguidoresSeguir
729SeguidoresSeguir

Te recomendamos leer: