Bahamut distribuito con versione fake di OpenVPN

Bahamut distribuito con versione fake di OpenVPN

Il gruppo Bahamut distribuisce l'omonimo spyware attraverso versioni infette delle app SoftVPN e OpenVPN per Android.
Bahamut distribuito con versione fake di OpenVPN
Il gruppo Bahamut distribuisce l'omonimo spyware attraverso versioni infette delle app SoftVPN e OpenVPN per Android.

I ricercatori di ESET hanno individuato almeno otto varianti dello spyware Bahamut che l’omonimo gruppo ha utilizzato durante gli attacchi contro specifici target. I cybercriminali distribuiscono il malware attraverso versioni infette delle app Android di OpenVPN e SoftVPN pubblicate su un sito fasullo di SecureVPN. A differenza di altri casi simili, nessuna delle app è quindi presente sul Google Play Store.

Sembra una VPN, ma è uno spyware

Il gruppo Bahamut è formato da mercenari che vengono pagati per colpire obiettivi specifici, principalmente a scopo di cyberspionaggio. Il metodo di distribuzione iniziale non è noto, ma gli attacchi avvengono quasi certamente tramite email, SMS, social media o servizi di messaggistica. I cybercriminali hanno creato un sito fasullo di SecureVPN, dal quale gli utenti sono inviati a scaricare i file APK infetti.

Il codice del malware è stato inserito nelle app legittime di OpenVPN e SoftVPN. L’utente crede quindi di utilizzare una normale VPN con le funzionalità originali. Invece Bahamut raccoglie di nascosto numerosi dati dallo smartphone e li invia al server C&C (command-and-control).

Lo spyware può esfiltrare SMS, contatti, cronologia delle chiamate, elenco delle app installate, posizione geografica e informazioni del dispositivo (tra cui numero seriale della SIM, codice IMEI e indirizzo IP). Può inoltre attivare il microfono per registrare le telefonate e, sfruttando i servizi di accessibilità, leggere i messaggi di WhatsApp, Telegram, Facebook Messenger, Signal e WeChat.

Fonte: ESET
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 24 nov 2022
Link copiato negli appunti