Дослідники ESET виявили нову серію атак, що приписується хакерській групі Bahamut APT, в рамках якої безкоштовні VPN програми використовуються як приманка з метою зараження користувачів ОС Android шкідливим відстежуючим ПЗ.
Bahamut – це угруповання, яке займається кібершпигунством, яке діє з 2017 року і націлене в основному на людей з Близького Сходу та Південної Азії.
VPN-додатки, що використовуються хакерами Bahamut, є зараженими троянським ПЗ SoftVPN і OpenVPN, що розповсюджуються через підроблений сайт SecureVPN, на який жертви потрапляють після переходу за посиланнями, розміщеними у фішингових електронних листах.
Завантажені APK-файли встановлюють повноцінний VPN-додаток, але при цьому заражають пристрої вірусами-шпигунами, здатними перехоплювати SMS, відстежувати розташування та записувати телефонні дзвінки.
Крім того, шкідливе програмне забезпечення може перехоплювати всі повідомлення у месенджерах, таких як Signal, Viber, WhatsApp, Facebook Messenger та навіть Telegram.
Будучи встановленим, програма може вкрасти такі дані:
- контакти;
- SMS-повідомлення;
- журнали дзвінків;
- список встановлених програм;
- розташування пристрою;
- облікові записи пристрою;
- інформація про пристрій (тип підключення до Інтернету, IMEI, IP, серійний номер SIM);
- записані телефонні дзвінки;
- список файлів на зовнішньому накопичувачі (microSD та ін.).
Вкрадені дані зберігаються локально в базі даних, створеній шкідливим додатком, і відправляються на командно-контрольний сервер на запит учасником групи хакерів.
ESET приписує цю серію атак фіктивними програмами SecureVPN хакерському угрупованню Bahamut після порівняння структури коду та SQL-запитів із шкідливими програмами від Bahamut, що зустрічалися в минулих серіях атак, і виявлення значної подібності.
Безкоштовні VPN-програми, як відомо, небезпечні. Дослідження 270 безкоштовних VPN-програм для Android показало, що 38% з них містять шкідливе програмне забезпечення, а близько 82% додатків намагалися отримати доступ до конфіденційних даних користувача. Хоча існують авторитетні безкоштовні VPN, що працюють по бізнес-моделі freemium, наприклад, Proton VPN і Atlas VPN, все ж таки варто виявляти обережність.
Незважаючи на те, що це угруповання зловмисників здебільшого націлене на користувачів у Південній Азії, це не означає, що воно навряд чи зможе зосередитися на людях з інших частин світу.
Користувачам рекомендується з обережністю ставитися до повідомлень з проханнями встановити той чи інший VPN і завжди перевіряти репутацію розробника VPN, перш ніж встановлювати будь-що, що може відстежувати їхній мережевий трафік.
