Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Bahamut setzt gefälschte VPN-Apps ein, um Nutzerdaten zu stehlen
9. Dezember 2022. TuxCare PR Team
ESET-Forscher entdeckten eine laufende Kampagne der Bahamut APT-Gruppe, einer berüchtigten Cyber-Schergengruppe, die seit 2016 aktiv ist und Android-Nutzer mit gefälschten VPN-Apps angreift und Malware einschleust, um die Zugangsdaten der Nutzer zu stehlen.
Diese Kampagne läuft seit Januar 2022 und verteilt gefälschte VPN-Apps von SoftVPN, SecureVPN und OpenVPN, die als die Originale getarnt sind, über eine gefälschte SecureVPN-Website, die nur Android-Apps zum Download anbietet. Die gefälschten Apps haben keine Verbindung zu den legitimen, mit einem der Originale, und sie sind nicht auf Google Play verfügbar.
Den Untersuchungen zufolge fügte Bahamut bösartigen Code in zwei verschiedene legitime VPN-Anwendungen ein: SoftVPN und OpenVPN. Bevor die VPN- und Spyware-Funktionen aktiviert werden, fordert Fake SecureVPN einen Aktivierungsschlüssel an, der verhindert, dass dynamische Malware-Analyse-Sandboxen die Anwendung als bösartig einstufen.
Es ist anzumerken, dass acht Versionen dieser bösartig gepatchten Apps mit Code-Änderungen und Updates über die Vertriebswebsite verfügbar sind. Der Hauptzweck der App-Modifikationen besteht darin, sensible Nutzerdaten zu extrahieren und die Messaging-Apps der Opfer aktiv auszuspionieren.
Berichten zufolge wählt Bahamut seine Ziele sorgfältig aus, insbesondere Unternehmen und Einzelpersonen im Nahen Osten und in Südasien, da die App das Opfer zur Eingabe eines Aktivierungsschlüssels auffordert, um die Funktionen über einen Verbreitungsvektor zu aktivieren, und danach mit Spear-Phishing-Nachrichten und gefälschten Apps angreift. Anschließend wird die bösartige Android-Anwendung über die Website thesecurevpn[.]com verbreitet, die den Namen, aber nicht den Inhalt oder das Design des legitimen SecureVPN-Dienstes (unter der Domain securevpn.com) verwendet.
Diese gefälschte SecureVPN-Webseite wurde mit einer kostenlosen Webvorlage erstellt, die höchstwahrscheinlich von dem Bedrohungsakteur als Inspiration verwendet wurde, da sie nur geringfügige Änderungen erforderte und vertrauenswürdig erscheint.
Nach der Verteilung fordert die gefälschte App einen Aktivierungsschlüssel an, bevor sie die VPN- und Spyware-Funktionen aktiviert. Der Schlüssel und die URL werden an die Zielnutzer gesendet, so dass die Hacker die Spyware fernsteuern und vertrauliche Nutzerdaten wie Anrufprotokolle, SMS-Nachrichten, den Standort des Geräts, WhatsApp-Daten, Telegram- und Signal-Daten usw. ohne das Wissen des Opfers infiltrieren/abgreifen können.
Zu den Quellen für diesen Beitrag gehört ein Artikel in Hackread.
