ESET tədqiqatçıları Bahamut APT haker qrupuna aid edilən yeni hücumlar silsiləsi aşkar ediblər ki, burada pulsuz VPN proqramları Android istifadəçilərini zərərli izləmə proqramı ilə yoluxdurmaq üçün yem kimi istifadə olunur.
Bahamut 2017-ci ildən fəaliyyət göstərən və ilk növbədə Yaxın Şərq və Cənubi Asiyadakı insanları hədəf alan kibercasusluq qrupudur.
Bahamut hakerləri tərəfindən istifadə edilən VPN proqramları troyanla yoluxmuş SoftVPN və OpenVPN proqram təminatıdır ki, qurbanlar fişinq e-poçtlarındakı keçidləri kliklədikdən sonra onlara yönəldilir.
Yüklənmiş APK faylları tam hüquqlu VPN tətbiqini quraşdırır, lakin eyni zamanda SMS-ləri ələ keçirə, yeri izləyə və telefon zənglərini yaza bilən casus proqram virusları ilə cihazları yoluxdurur.
Bundan əlavə, zərərli proqramlar Signal, Viber, WhatsApp, Facebook Messenger və hətta Telegram kimi messencerlərdəki bütün mesajları ələ keçirə bilər.
Quraşdırıldıqdan sonra proqram aşağıdakı məlumatları oğurlaya bilər:
- əlaqə;
- SMS mesajları;
- zəng qeydləri;
- quraşdırılmış proqramların siyahısı;
- cihazın yeri;
- cihaz hesabları;
- cihaz haqqında məlumat (İnternet bağlantısı növü, IMEI, IP, SİM seriya nömrəsi);
- qeydə alınmış telefon zəngləri;
- xarici yaddaşda olan faylların siyahısı (microSD və s.).
Oğurlanmış məlumatlar yerli olaraq zərərli proqram tərəfindən yaradılmış verilənlər bazasında saxlanılır və haker qrupunun üzvü tərəfindən sorğu əsasında komanda və idarəetmə serverinə göndərilir.
ESET kod strukturunu və SQL sorğularını keçmiş hücum seriyalarında görülən Bahamut zərərli proqram təminatı ilə müqayisə etdikdən və əhəmiyyətli oxşarlıqlar tapdıqdan sonra bu SecureVPN saxta proqram hücumlarını Bahamut haker qrupuna aid edir.
Pulsuz VPN proqramlarının təhlükəli olduğu bilinir. Araşdırma 270 pulsuz Android üçün VPN proqramları onların 38%-də zərərli proqram olduğunu, təxminən 82%-nin isə həssas istifadəçi məlumatlarına daxil olmağa çalışdığını göstərdi. Proton VPN və Atlas VPN kimi pulsuz biznes modelində işləyən nüfuzlu pulsuz VPN-lər olsa da, yenə də ehtiyatlı olmağa dəyər.
Bu hücum qrupu ilk növbədə Cənubi Asiyadakı istifadəçiləri hədəf almasına baxmayaraq, bu o demək deyil ki, onun dünyanın digər yerlərindəki insanları hədəf alması ehtimalı azdır.
İstifadəçilərə müəyyən bir VPN quraşdırmağı xahiş edən mesajlardan ehtiyatlı olmaq və onların şəbəkə trafikinə nəzarət edə biləcək hər hansı bir şeyi quraşdırmadan əvvəl həmişə VPN tərtibatçısının reputasiyasını yoxlamaq tövsiyə olunur.
