ESET-Forscher haben eine neue Angriffsserie entdeckt, die der Hackergruppe Bahamut APT zugeschrieben wird und bei der kostenlose VPN-Apps als Köder verwendet werden, um Android-Benutzer mit bösartiger Tracking-Software zu infizieren.
Bahamut ist eine Cyber-Spionagegruppe, die seit 2017 aktiv ist und es vor allem auf Menschen im Nahen Osten und Südasien abgesehen hat.
Bei den von den Bahamut-Hackern verwendeten VPN-Apps handelt es sich um mit Trojanern infizierte SoftVPN- und OpenVPN-Software, die über eine gefälschte SecureVPN-Website verbreitet wird, zu der Opfer weitergeleitet werden, nachdem sie auf Links in Phishing-E-Mails geklickt haben.
Heruntergeladene APK-Dateien installieren eine vollwertige VPN-Anwendung, infizieren aber gleichzeitig Geräte mit Spyware-Viren, die SMS abfangen, den Standort verfolgen und Telefonanrufe aufzeichnen können.
Darüber hinaus kann Schadsoftware alle Nachrichten in Instant Messengern wie Signal, Viber, WhatsApp, Facebook Messenger und sogar Telegram abfangen.
Nach der Installation kann die Anwendung die folgenden Daten stehlen:
- Kontakte;
- SMS-Nachrichten;
- Anrufprotokolle;
- Liste der installierten Anwendungen;
- Gerätestandort;
- Gerätekonten;
- Informationen zum Gerät (Art der Internetverbindung, IMEI, IP, SIM-Seriennummer);
- aufgezeichnete Telefongespräche;
- Liste der Dateien auf externem Speicher (microSD usw.).
Die gestohlenen Daten werden lokal in einer von der Schadanwendung erstellten Datenbank gespeichert und auf Anfrage eines Mitglieds der Hackergruppe an einen Befehls- und Kontrollserver gesendet.
ESET führt diese Reihe gefälschter SecureVPN-App-Angriffe der Bahamut-Hackergruppe zu, nachdem es die Codestruktur und SQL-Abfragen mit Bahamut-Malware in früheren Angriffsreihen verglichen und erhebliche Ähnlichkeiten festgestellt hat.
Kostenlose VPN-Apps sind bekanntermaßen gefährlich. Recherche 270 kostenlos VPN-Apps für Android показало, что 38% из них содержат вредоносное ПО, а около 82% приложений пытались получить доступ к конфиденциальным данным пользователя. Хотя существуют авторитетные бесплатные VPN, работающие по бизнес-модели freemium, например Proton VPN, все же стоит проявлять осторожность.
Obwohl diese Angriffsgruppe hauptsächlich auf Benutzer in Südasien abzielt, bedeutet dies nicht, dass es unwahrscheinlich ist, dass sie auch Personen in anderen Teilen der Welt ins Visier nimmt.
Benutzern wird empfohlen, bei Nachrichten, die sie zur Installation eines bestimmten VPN auffordern, auf der Hut zu sein und stets den Ruf des VPN-Entwicklers zu überprüfen, bevor sie etwas installieren, das ihren Netzwerkverkehr überwachen könnte.
