Wire

ESET Research: met nep-VPN-apps richt Bahamut-groep zich op Android-gebruikers; spyware steelt de gesprekken van gebruikers 

Onderzoekers van ESET hebben een actieve campagne geïdentificeerd, gericht op Android-gebruikers en uitgevoerd door de Bahamut APT-groep. Deze campagne loopt sinds begin dit jaar. Schadelijke spyware-apps worden verspreid via een nep-SecureVPN-website die alleen Android-apps met trojans aanbiedt om te downloaden. Deze website heeft geen enkele link met de legitieme, multiplatform SecureVPN-software en -service. Kwaadaardige apps die in deze campagne gebruikt worden, kunnen contacten, sms-berichten, opgenomen telefoongesprekken en zelfs chatberichten van apps zoals WhatsApp, Facebook Messenger, Signal, Viber en Telegram stelen. ESET ontdekte minstens acht versies van de Bahamut-spyware, wat kan betekenen dat de campagne goed wordt bijgewerkt. De kwaadaardige apps konden nooit van Google Play gedownload worden.

“De data-exfiltratie gebeurt via de keylogging-functionaliteit van de malware, die toegangsmogelijkheden misbruikt. De campagne lijkt zeer doelgericht daar we geen gevallen in onze telemetriegegevens zien,” zegt Lukáš Štefanko, de onderzoeker die de gevaarlijke Android-malware ontdekte en analyseerde. “Bovendien vraagt de app om en activeringssleutel vooraleer de VPN- en spywarefunctionaliteit kan worden ingeschakeld. Zowel de activeringssleutel als de weblink worden wellicht naar specifieke gebruikers gestuurd”, aldus Štefanko.  Deze laag is er om te voorkomen dat de schadelijke lading geactiveerd wordt net na de lancering op een niet-gericht gebruikersapparaat of wanneer deze geanalyseerd wordt. ESET Research zag ook dat dergelijke bescherming gebruikt wordt in een andere campagne van de Bahamut-groep. 

Alle geëxfiltreerde gegevens worden opgeslagen in een lokale database en dan verzonden naar de Command and Control (C&C)-server. De Bahamut-spywarefunctionaliteit omvat de mogelijkheid om de app bij te werken door een link te ontvangen naar een nieuwe versie van de C&C-server.  

Als de spyware ingeschakeld is, kan deze op afstand door Bahamut-operatoren beheerd worden en verschillende gevoelige gegevens van het apparaat exfiltreren, zoals contacten, sms-berichten, oproeplogboeken, lijst met geïnstalleerde apps, locatie en accounts, apparaatnaam en -informatie (internetverbinding type, IMEI, IP,  SIM-serienummer), opgenomen telefoongesprekken en een lijst met bestanden op externe opslag. Door misbruik te maken van toegangsservices, kan de malware notities stelen van de SafeNotes-app en chatberichten en oproepinformatie bespioneren van populaire berichten-apps, zoals imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat en Conion. 

Bahamut APT gebruikt doorgaans spearphishing-berichten en nep-apps als eerste aanvalsvector tegen entiteiten en individuen in het Midden-Oosten en Zuid-Azië. Bahamut is gespecialiseerd in cyberspionage en ESET Research is van mening dat het stelen van gevoelige informatie van zijn slachtoffers zijn doel is. Bahamut wordt ook een huurlingengroep genoemd die hack-for-hire-diensten aanbiedt aan een breed scala klanten. De naam Bahamut werd door de groep onderzoeksjournalisten Bellingcat gegeven aan deze bedreigingsactor en meester in phishing. De naam komt van de enorme vis uit de Arabische Zee beschreven in het ‘Book of Imaginary Beings’, door Jorge Luis Borges. Bahamut wordt in de Arabische mythologie vaak beschreven als een onvoorstelbaar grote vis. 

Voor meer technische informatie over de nieuwste campagne van Bahamut APT Group, lees de blog  “Bahamut cybermercenary group targets Android users with fake VPN apps” op WeLiveSecurity. Volg ESET Research on Twitter voor het laatste nieuws over ESET Research. 

Over ESET 

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen. 

De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.  

Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en Twitter

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/ 

esetpartnerinfo

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken