ESET tadqiqotchilari Bahamut APT xakerlar guruhiga tegishli bo‘lgan yangi hujumlar seriyasini aniqladilar, unda bepul VPN ilovalari Android foydalanuvchilariga zararli kuzatuv dasturlarini yuqtirish uchun o‘lja sifatida foydalaniladi.
Bahamut 2017-yildan beri faol bo‘lgan va birinchi navbatda Yaqin Sharq va Janubiy Osiyodagi odamlarni nishonga olgan kiber-josuslik guruhidir.
Bahamut xakerlari tomonidan foydalaniladigan VPN ilovalari troyan virusi bilan zararlangan SoftVPN va OpenVPN dasturlari boʻlib, soxta SecureVPN veb-sayti orqali tarqatiladi, qurbonlar fishing xatlaridagi havolalarni bosgandan soʻng ularga yoʻnaltiriladi.
Yuklab olingan APK fayllari to'liq huquqli VPN ilovasini o'rnatadi, lekin shu bilan birga SMS ni to'xtata oladigan, joylashuvni kuzatishi va telefon qo'ng'iroqlarini yozib olishi mumkin bo'lgan josuslik dasturlari viruslari bilan qurilmalarni yuqtiradi.
Bundan tashqari, zararli dasturlar Signal, Viber, WhatsApp, Facebook Messenger va hatto Telegram kabi messenjerlardagi barcha xabarlarni to‘xtatib qo‘yishi mumkin.
O'rnatilgandan so'ng, dastur quyidagi ma'lumotlarni o'g'irlashi mumkin:
- kontaktlar;
- SMS xabarlar;
- qo'ng'iroq jurnallari;
- o'rnatilgan ilovalar ro'yxati;
- qurilmaning joylashuvi;
- qurilma hisoblari;
- qurilma haqida ma'lumot (internetga ulanish turi, IMEI, IP, SIM seriya raqami);
- yozib olingan telefon qo'ng'iroqlari;
- tashqi xotiradagi fayllar ro'yxati (microSD va boshqalar).
O'g'irlangan ma'lumotlar mahalliy ravishda zararli dastur tomonidan yaratilgan ma'lumotlar bazasida saqlanadi va xakerlik guruhi a'zosi so'roviga binoan buyruq va boshqaruv serveriga yuboriladi.
ESET SecureVPN soxta ilova hujumlarining ushbu seriyasini Bahamut xakerlar guruhiga tegishli deb hisoblaydi, kod tuzilishi va SQL so‘rovlarini o‘tgan hujumlar seriyasida ko‘rilgan Bahamut zararli dasturi bilan taqqoslab va sezilarli o‘xshashliklarni topdi.
Bepul VPN ilovalari xavfli ekanligi ma'lum. Tadqiqot 270 bepul Android uchun VPN ilovalari показало, что 38% из них содержат вредоносное ПО, а около 82% приложений пытались получить доступ к конфиденциальным данным пользователя. Хотя существуют авторитетные бесплатные VPN, работающие по бизнес-модели freemium, например Proton VPN, все же стоит проявлять осторожность.
Ushbu hujum guruhi asosan Janubiy Osiyodagi foydalanuvchilarni nishonga olgan bo‘lsa-da, bu dunyoning boshqa qismlaridagi odamlarni nishonga olishi dargumon degani emas.
Foydalanuvchilarga ma'lum bir VPNni o'rnatishni so'ragan xabarlardan ehtiyot bo'lish tavsiya etiladi va ularning tarmoq trafigini kuzatib borishi mumkin bo'lgan har qanday narsani o'rnatishdan oldin har doim VPN ishlab chiqaruvchisi obro'sini tekshirish kerak.
