Η hacking ομάδα Bahamut, που δραστηριοποιείται από το 2017, δημιούργησε ένα ψεύτικο λογισμικό VPN για Android που είναι μια trojanized version (spyware) νόμιμου λογισμικού, όπως το SoftVPN και το OpenVPN. Ένα VPN, ή Virtual Private Network, δημιουργεί μια ασφαλή σύνδεση μεταξύ της συσκευής σας και του διαδικτύου. Αυτή η σύνδεση σας επιτρέπει να περιηγείστε στο διαδίκτυο ανώνυμα και με ασφάλεια, χωρίς να παραβιάζονται τα δεδομένα σας. Πολλοί άνθρωποι στρέφονται στα VPN για να ενισχύσουν την ασφάλειά τους, γι’ αυτό οι εγκληματίες του κυβερνοχώρου το εκμεταλλεύονται.
Οι ερευνητές λένε ότι η εκστρατεία ήταν “εξαιρετικά στοχευμένη” και αποσκοπούσε στην κλοπή πληροφοριών επικοινωνίας, δεδομένων κλήσεων, στοιχείων τοποθεσίας συσκευής, καθώς και μηνυμάτων από πολλαπλές εφαρμογές.
Δείτε επίσης: Το νέο spyware SandStrike μολύνει συσκευές Android μέσω κακόβουλου VPN app
Ψεύτικες εφαρμογές VPN μιμούνται νόμιμα apps
Η επιχείρηση πραγματοποιήθηκε από μια ομάδα που αναφέρεται ως Bahamut. Πρόκειται κατά πάσα πιθανότητα για μια ομάδα που παρέχει υπηρεσίες hack-for-hire.
 νόμιμου λογισμικού, όπως το OpenVPN){kind=link}
Σύμφωνα με τον αναλυτή κακόβουλου λογισμικού της ESET, Lukas Stetanko, οι εφαρμογές SoftVPN και OpenVPN για Android έχουν γίνει repackaged με κακόβουλο κώδικα που επιτρέπει λειτουργίες κατασκοπείας (spyware).
Με την ενέργεια αυτή, ο δράστης εξασφάλισε ότι οι εφαρμογές θα εξακολουθούν να προσφέρουν δυνατότητες VPN στο θύμα, ενώ παράλληλα θα κλέβουν ευαίσθητες πληροφορίες από την κινητή συσκευή του.
Ο Stefanko εξηγεί ότι η πλαστή εφαρμογή VPN μπορεί να κλέψει επαφές, αρχεία καταγραφής κλήσεων, λεπτομέρειες τοποθεσίας, SMS, να κρυφακούσει συνομιλίες σε εφαρμογές ανταλλαγής μηνυμάτων όπως το Signal, το Viber, το WhatsApp και το Telegram, καθώς και να συλλέξει μια λίστα με αρχεία που είναι προσβάσιμα σε εξωτερικό αποθηκευτικό χώρο.
Προκειμένου να αποκρύψουν το σχέδιό τους και για μεγαλύτερη αξιοπιστία, οι Bahamut πήραν το όνομα μιας υπάρχουσας υπηρεσίας VPN, της SecureVPN, και δημιούργησαν έναν ψεύτικο ιστότοπο [thesecurevpn] για να διανείμουν την κακόβουλη εφαρμογή τους.
Ο ερευνητής της ESET ανακάλυψε οκτώ εκδόσεις της κατασκοπευτικής εφαρμογής VPN της ομάδας Bahamut.
Δείτε επίσης: Υπηρεσία online spoofing iSpoof: Η αστυνομία συνέλαβε 146 άτομα
Όλες οι ψεύτικες εφαρμογές περιλάμβαναν κώδικα που είχε εμφανιστεί μόνο σε παλαιότερες επιχειρήσεις της Bahamut.
Αξίζει να σημειωθεί ότι καμία από τις trojanized εκδόσεις VPN δεν ήταν διαθέσιμη μέσω του Google Play, του επίσημου καταστήματος εφαρμογών Android.
Η μέθοδος για το πρώτο στάδιο διανομής είναι άγνωστη, αλλά θα μπορούσε να είναι οτιδήποτε, από phishing email, μέχρι μήνυμα στα social media ή σε άλλη εφαρμογή επικοινωνίας.
Δείτε επίσης: Η Hodlnaut crypto εταιρεία κατηγορείται για απάτη
Οι πληροφορίες σχετικά με την ομάδα Bahamut ήρθαν στο φως το 2017, όταν κάποιοι δημοσιογράφοι δημοσίευσαν ένα άρθρο που αποκάλυπτε ότι η ομάδα στόχευε ακτιβιστές ανθρωπίνων δικαιωμάτων της Μέσης Ανατολής.
Δεδομένου ότι η Bahamut βασίζεται σε μεγάλο βαθμό σε δημόσια εργαλεία και αλλάζει συχνά τις τακτικές της, θα ήταν δύσκολο να συνδεθεί η ομάδα με άλλους φορείς απειλών. Επιπλέον, οι στόχοι τους είναι διασκορπισμένοι σε διάφορες περιοχές.
Ωστόσο, σε μια εκτενή έκθεση για τη Bahamut που δημοσιεύθηκε από ερευνητές της BlackBerry το 2020, σημειώθηκε ότι η ομάδα φαίνεται να είναι καλά χρηματοδοτημένη και εφοδιασμένη.
Πηγή: www.bleepingcomputer.com