Le groupe de cyberespionnage connu sous le nom de Bahamut a été attribué à l’origine d’une campagne très ciblée qui infecte les utilisateurs d’appareils Android avec des applications malveillantes conçues pour extraire des informations sensibles.
L’activité, active depuis janvier 2022, consiste à distribuer des applications VPN malveillantes via un faux site Web SecureVPN mis en place à cet effet, la société slovaque de cybersécurité ESET a dit dans un nouveau rapport partagé avec The Hacker News.
Au moins huit variantes différentes des applications de logiciels espions ont été découvertes à ce jour, il s’agit de versions trojanisées d’applications VPN légitimes telles que SoftVPN et OpenVPN.
Les applications falsifiées et leurs mises à jour sont transmises aux utilisateurs via le site Web frauduleux. On soupçonne également que les cibles sont soigneusement sélectionnées, car le lancement de l’application nécessite que la victime entre une clé d’activation pour activer les fonctionnalités.
Cela implique l’utilisation d’un vecteur de distribution indéterminé, bien que les preuves passées montrent que cela pourrait prendre la forme d’e-mails de harponnage, de SMS ou de messages directs sur les applications de médias sociaux.
Le mécanisme de clé d’activation est également conçu pour communiquer avec un serveur contrôlé par un acteur, empêchant efficacement le malware d’être accidentellement déclenché juste après son lancement sur un appareil utilisateur non ciblé.
Bahamut était démasqué dans 2017 par Bellingcat en tant que opération de piratage pour la location ciblant des représentants du gouvernement, des groupes de défense des droits de l’homme et d’autres entités de premier plan en Asie du Sud et au Moyen-Orient avec des applications Android et iOS malveillantes pour espionner ses victimes.
« Peut-être que l’aspect le plus distinctif de l’artisanat de Bahamut que BlackBerry a découvert est l’utilisation par le groupe de sites Web, d’applications et de personnages originaux et minutieusement conçus », a noté BlackBerry en octobre 2020.
Plus tôt cette année, Cyble a détaillé deux séries de Hameçonnage attaques orchestrée par le groupe pour pousser des applications Android contrefaites se faisant passer pour des applications de chat.
La dernière vague suit une trajectoire similaire, incitant les utilisateurs à installer des applications VPN apparemment inoffensives qui peuvent exfiltrer une large gamme d’informations, y compris des fichiers, des listes de contacts, des SMS, des enregistrements d’appels téléphoniques, des emplacements et des messages de WhatsApp, Facebook Messenger, Signal, Viber. , Télégramme et WeChat.
« L’exfiltration des données se fait via la fonctionnalité d’enregistrement de frappe du logiciel malveillant, qui utilise à mauvais escient les services d’accessibilité », a déclaré le chercheur d’ESET, Lukáš Štefanko.
Signe que la campagne est bien entretenue, l’auteur de la menace a d’abord empaqueté le code malveillant dans l’application SoftVPN, avant de passer à OpenVPN, un changement expliqué par le fait que l’application SoftVPN actuelle a cessé de fonctionner et qu’il n’était plus possible d’établir un Connexion VPN.
« La campagne mobile exploitée par le groupe Bahamut APT est toujours active ; il utilise la même méthode de distribution de ses applications de logiciels espions Android via des sites Web qui se font passer pour ou se font passer pour des services légitimes, comme cela a été vu dans le passé », a ajouté Štefanko.
