ESET araştırmacıları, Bahamut APT adlı hacker grubuna atfedilen ve ücretsiz VPN uygulamalarının Android kullanıcılarına kötü amaçlı izleme yazılımı bulaştırmak için yem olarak kullanıldığı bir dizi yeni saldırı keşfetti.
Bahamut, 2017 yılından bu yana faaliyet gösteren ve öncelikle Orta Doğu ve Güney Asya'daki insanları hedef alan bir siber casusluk grubudur.
Bahamut bilgisayar korsanları tarafından kullanılan VPN uygulamaları, kurbanların kimlik avı e-postalarındaki bağlantılara tıkladıktan sonra yönlendirildiği sahte bir SecureVPN web sitesi aracılığıyla dağıtılan Truva atı bulaşmış SoftVPN ve OpenVPN yazılımıdır.
İndirilen APK dosyaları tam teşekküllü bir VPN uygulaması yükler, ancak aynı zamanda SMS'leri engelleyebilen, konumu izleyebilen ve telefon görüşmelerini kaydedebilen casus yazılım virüslerini cihazlara bulaştırır.
Ayrıca kötü amaçlı yazılımlar Signal, Viber, WhatsApp, Facebook Messenger ve hatta Telegram gibi anlık mesajlaşma programlarındaki tüm mesajları ele geçirebilir.
Uygulama yüklendikten sonra aşağıdaki verileri çalabilir:
- kişiler;
- SMS mesajları;
- arama kayıtları;
- yüklü uygulamaların listesi;
- cihazın konumu;
- cihaz hesapları;
- cihazla ilgili bilgiler (İnternet bağlantısı türü, IMEI, IP, SIM seri numarası);
- kayıtlı telefon görüşmeleri;
- harici depolama birimindeki (microSD vb.) dosyaların listesi.
Çalınan veriler, kötü amaçlı uygulama tarafından oluşturulan bir veritabanında yerel olarak depolanıyor ve bilgisayar korsanlığı grubunun bir üyesinin talebi üzerine bir komuta ve kontrol sunucusuna gönderiliyor.
ESET, kod yapısını ve SQL sorgularını geçmiş saldırı serilerinde görülen Bahamut kötü amaçlı yazılımlarıyla karşılaştırıp önemli benzerlikler bulduktan sonra, bu SecureVPN sahte uygulama saldırıları serisini Bahamut hacker grubuna bağladı.
Ücretsiz VPN uygulamalarının tehlikeli olduğu bilinmektedir. Araştırma 270 ücretsiz Android için VPN uygulamaları 38%'nin kötü amaçlı yazılım içerdiğini ve yaklaşık 82% uygulamanın hassas kullanıcı verilerine erişmeye çalıştığını gösterdi. Proton VPN ve Atlas VPN gibi ücretsiz iş modelinde çalışan saygın ücretsiz VPN'ler olsa da yine de dikkatli olmakta fayda var.
Bu saldırgan grubu öncelikli olarak Güney Asya'daki kullanıcıları hedef alsa da bu, dünyanın diğer yerlerindeki insanlara odaklanma ihtimalinin düşük olduğu anlamına gelmiyor.
Kullanıcılara, kendilerinden belirli bir VPN kurmalarını isteyen mesajlara karşı dikkatli olmaları ve ağ trafiğini izleyebilecek herhangi bir şey yüklemeden önce daima VPN geliştiricisinin itibarını kontrol etmeleri tavsiye edilir.
