El siguiente artículo te ayudará: ¿Usó Android? Atenção à onda de malware que rouba dados
Quando se falla en malware para dispositivos móviles, o Android é sem duvida o alvo principal. Recientemente, investigadores de ESETidentificaram uma campanha activa que visa utilizadores de Android.
Conduzida al grupo malicioso Bahamut, el principal objetivo de la campaña de spyware para Android es o roubo de dados sensibles de utilizadores bem como actividades de espionaje de aplicaciones de mensajes como WhatsApp, Facebook Messenger, Signal, Viber y Telegram.
En períodos distintos, una aplicación usada para una versión “trojonizada” de una de las dos aplicaciones de VPN legítimas, SoftVPN y OpenVPN. En ambos casos, una aplicación personalizada con código de spyware del grupo Bahamut.
A ESET identificou pelo menos oito versões destas apps maliciosas personalizadas com mudança de código e actualizadas a través de un sitio web de distribución, ambas características que revelan uma campanha bem organizada y que está activa desde o início de 2022. No entanto, nenhuma das apps maliciosas esteve alguma vez disponible para descargar desde Google Play.
Android: método de distribución de aplicaciones con spyware revelado campanha organizado
El sitio SecureVPN falso para el criado con base num template web gratuito (ver imagem em baixo), que terá sido usado por un agente malicioso como inspiración, dado que requer pouca personalização e tem um aspeto legítimo.
Como aplicaciones con software espía, el grupo se distribuye a través de un sitio web SecureVPN falso que solo fornece aplicaciones de Android “trojanizadas” para descargar. Este sitio web não tem qualquer associação com o software y servicio SecureVPN legítimo y multiplataforma.
El objetivo principal de la campaña es el envío de contactos, mensajes SMS, llamadas telefónicas gravadas, mensajes de chat a partir de aplicaciones de mensajes como WhatsApp, Facebook Messenger, Signal, Viber y Telegram.
Dado que una telemetría de ESET no detecta instancias de actividad de esta campaña de malware, es probable que se traten tentativas de infiltración altamente dirigidas. Una aplicación maliciosa solicita uma chave de tivação antes do VPN y da funcionalidade de spyware ficarem ativas. Tanto a chave de acesso como o link do website forjado são provavelmente enviados directamente a utilizadores-alvo específicos.
Esta camada de segurança almeja proteger una carga maliciosa de ficar activa logo após o seu envio para um dispositivo final não intencionado ou quando está a ser analizado. Una investigación de ESET detectó un método de protección similar a la campaña del grupo Bahamut.
Todos os dados desviados são armados numa base de dados locales y depois são remetidos para el servidor Command and Control (C&C). Una funcionalidad del spyware del grupo incluye una capacidad de actualización de una aplicación maliciosa para recibir un enlace para una nueva versión del servidor C&C.
El grupo malicioso Bahamutusa típicamente transmite mensajes de spearphishing y aplicaciones falsas como vetor de ataque inicial contra entidades e individuos en el Medio Oriente y Asia del Sur. Ningún caso desta campanha, o vetor de distribuição inicial ainda não é conhecido. O Bahamut se especializa en ciberespionaje y es referenciado como un grupo de mercenarios con servicios de acceso no autorizado a soldo para varios clientes.
