Исследователи ESET обнаружили новую серию атак, приписываемую хакерской группе Bahamut APT, в рамках которой бесплатные VPN приложения используются в качестве приманки с целью заражения пользователей ОС Android вредоносным отслеживающим ПО.
Bahamut – это группировка, занимающаяся кибершпионажем, которая действует с 2017 года и нацелена в основном на людей из Ближнего Востока и Южной Азии.
VPN-приложения, используемые хакерами Bahamut, представляют собой зараженные троянским ПО SoftVPN и OpenVPN, распространяемые через поддельный сайт SecureVPN, на который жертвы попадают после перехода по ссылкам, размещенным в фишинговых электронных письмах.
Скачанные APK-файлы инсталлируют полноценное VPN-приложение, но при этом заражают устройства вирусами-шпионами, способными перехватывать SMS, отслеживать местоположение и записывать телефонные звонки.
Кроме того, вредоносное программное обеспечение может перехватывать все сообщения в мессенджерах, таких как Signal, Viber, WhatsApp, Facebook Messenger и даже Telegram.
Будучи установленным, приложение может украсть следующие данные:
- контакты;
- SMS-сообщения;
- журналы вызовов;
- список установленных приложений;
- местоположение устройства;
- учётные записи устройства;
- информация об устройстве (тип подключения к интернету, IMEI, IP, серийный номер SIM);
- записанные телефонные звонки;
- список файлов на внешнем накопителе (microSD и др.).
Украденные данные хранятся локально в базе данных, созданной вредоносным приложением, и отправляются на командно-контрольный сервер по запросу участником хакерской группы.
ESET приписывает эту серию атак фиктивными приложениями SecureVPN хакерской группировке Bahamut после сравнения структуры кода и SQL- запросов с вредоносными ПО от Bahamut, встречавшимися в прошлых сериях атак, и обнаружения значительного сходства.
Бесплатные VPN-приложения, как известно, опасны. Исследование 270 бесплатных VPN-приложений для Android показало, что 38% из них содержат вредоносное ПО, а около 82% приложений пытались получить доступ к конфиденциальным данным пользователя. Хотя существуют авторитетные бесплатные VPN, работающие по бизнес-модели freemium, например Proton VPN, все же стоит проявлять осторожность.
Не смотря на то, что эта группировка злоумышленников в основном нацелена на пользователей в Южной Азии, это не означает, что она вряд ли сможет сосредоточиться на людях из других частей мира.
Пользователям рекомендуется с осторожностью относиться к сообщениям с просьбами установить тот или иной VPN и всегда проверять репутацию разработчика VPN, прежде чем устанавливать что-либо, что может отслеживать их сетевой трафик.
