ESET зерттеушілері Bahamut APT хакерлер тобына жататын шабуылдардың жаңа сериясын анықтады, онда тегін VPN қолданбалары Android пайдаланушыларына зиянды бақылау бағдарламалық құралын жұқтыру үшін жем ретінде пайдаланылады.
Bahamut — 2017 жылдан бері белсенді жұмыс істеп келе жатқан және негізінен Таяу Шығыс пен Оңтүстік Азиядағы адамдарға бағытталған кибер тыңшылық тобы.
Bahamut хакерлері пайдаланатын VPN қолданбалары - трояндық жұқтырған SoftVPN және OpenVPN бағдарламалық жасақтамасы жалған SecureVPN веб-сайты арқылы таратылады, фишингтік хаттардағы сілтемелерді басқаннан кейін құрбандар жіберіледі.
Жүктеп алынған APK файлдары толыққанды VPN қосымшасын орнатады, бірақ сонымен бірге SMS-ті ұстап, орналасқан жерін қадағалайтын және телефон қоңырауларын жаза алатын шпиондық вирустармен құрылғыларды жұқтырады.
Сонымен қатар, зиянды бағдарламалық қамтамасыз ету Signal, Viber, WhatsApp, Facebook Messenger және тіпті Telegram сияқты мессенджерлердегі барлық хабарламаларды ұстай алады.
Орнатылғаннан кейін қолданба келесі деректерді ұрлауы мүмкін:
- байланыстар;
- SMS хабарламалар;
- қоңыраулар журналдары;
- орнатылған қолданбалардың тізімі;
- құрылғының орналасуы;
- құрылғы тіркелгілері;
- құрылғы туралы ақпарат (интернет қосылымының түрі, IMEI, IP, SIM сериялық нөмірі);
- жазылған телефон қоңыраулары;
- сыртқы жадтағы файлдар тізімі (microSD және т.б.).
Ұрланған деректер жергілікті түрде зиянды бағдарлама жасаған дерекқорда сақталады және бұзу тобының мүшесінің сұрауы бойынша командалық және басқару серверіне жіберіледі.
ESET SecureVPN жалған қолданба шабуылдарының осы сериясын Bahamut хакерлер тобына код құрылымы мен SQL сұрауларын өткен шабуылдар серияларында көрген Bahamut зиянды бағдарламасымен салыстырып, елеулі ұқсастықтарды тапқаннан кейін атрибуттайды.
Тегін VPN қолданбалары қауіпті екені белгілі. Зерттеу 270 тегін Android үшін VPN қолданбалары Олардың 38% зиянды бағдарлама бар екенін және 82% қолданбаның құпия пайдаланушы деректеріне қол жеткізуге тырысқанын көрсетті. Proton VPN және Atlas VPN сияқты freemium бизнес үлгісінде жұмыс істейтін беделді тегін VPN желілері бар болса да, әлі де сақтық танытқан жөн.
Бұл шабуылдаушылар тобы негізінен Оңтүстік Азиядағы пайдаланушыларға бағытталған болса да, бұл әлемнің басқа бөліктеріндегі адамдарға назар аудару екіталай дегенді білдірмейді.
Пайдаланушыларға белгілі бір VPN орнатуды сұрайтын хабарлардан сақ болу және олардың желілік трафигін бақылай алатын кез келген нәрсені орнатпас бұрын VPN әзірлеушісінің беделін тексеру ұсынылады.
