Support technique
Documentation
Connexion
Nous contacter
Bahamut déploie de fausses applications VPN pour voler les données des utilisateurs
Le 9 décembre 2022 - L'équipe de relations publiques de TuxCare
Les chercheurs d'ESET ont découvert une campagne en cours du groupe APT Bahamut, un cyber-mercenaire notoire actif depuis 2016, qui cible les utilisateurs Android avec de fausses applications VPN et injecte des logiciels malveillants pour voler les informations d'identification des utilisateurs.
Cette campagne est en cours depuis janvier 2022 et distribue de fausses applications VPN de SoftVPN, SecureVPN et OpenVPN qui sont déguisées en applications originales via un faux site Web SecureVPN qui ne propose que des applications Android à télécharger. Les fausses applications n'ont aucun lien avec les applications légitimes, avec aucun des originaux, et elles ne sont pas disponibles sur Google Play.
Selon les recherches, Bahamut a inséré un code malveillant dans deux applications VPN légitimes différentes : SoftVPN et OpenVPN. Avant d'activer les fonctions VPN et spyware, Fake SecureVPN demande une clé d'activation, ce qui empêche les sandbox d'analyse dynamique des logiciels malveillants de le signaler comme une application malveillante.
Il convient de noter qu'il existe huit versions de ces apps malicieusement patchées disponibles sur le site de distribution, avec des modifications de code et des mises à jour. L'objectif principal des modifications de l'application est d'extraire les données sensibles des utilisateurs et d'espionner activement les applications de messagerie des victimes.
Selon les rapports, Bahamut choisit soigneusement ses cibles, en particulier les entités et les individus du Moyen-Orient et d'Asie du Sud, car l'application exige de la victime qu'elle saisisse une clé d'activation pour activer les fonctionnalités à l'aide d'un vecteur de distribution, après quoi elle attaque avec des messages de spear phishing et de fausses applications. Il distribue ensuite l'application Android malveillante via le site Web thesecurevpn[.]com, qui utilise le nom mais pas le contenu ni le style du service SecureVPN légitime (au domaine securevpn.com).
Ce faux site Web SecureVPN a été créé à l'aide d'un modèle Web gratuit, qui a très probablement servi d'inspiration à l'auteur de la menace, car il n'a nécessité que des modifications mineures et semble digne de confiance.
Après la distribution, la fausse application demande une clé d'activation avant d'activer les fonctionnalités du VPN et du logiciel espion. La clé et l'URL sont envoyées aux utilisateurs ciblés, ce qui permet aux pirates de contrôler à distance le logiciel espion et d'infiltrer/récolter les données confidentielles des utilisateurs telles que les journaux d'appels, les SMS, la localisation de l'appareil, les données WhatsApp, Telegram et Signal, etc. à l'insu de la victime.
Les sources de cette pièce incluent un article dans Hackread.
