技術支援
文件
登錄
聯繫我們
巴哈姆特部署虛假VPN應用程式來竊取用戶數據
奧班拉·奧佩耶米
實施期間: 2022年12月9 日 - TuxCare專家團隊
ESET研究人員發現了巴哈姆特APT集團正在進行的活動,這是一個臭名昭著的網路雇傭軍組織,自2016年以來一直活躍,該活動針對Android使用者使用虛假VPN應用程式,並注入惡意軟體以竊取用戶憑據。
該活動自 2022 年 1 月以來一直在運行,並且一直在分發 SoftVPN、SecureVPN 和 OpenVPN 的虛假 VPN 應用程式,這些應用程式通過一個僅提供 Android 應用程式下載的虛假 SecureVPN 網站偽裝成原始應用程式。虛假應用程式與合法應用程式沒有任何聯繫,任何原始應用程式,並且它們在Google Play上不可用。
根據這項研究,Bahamut將惡意代碼插入到兩個不同的合法VPN應用程式中:SoftVPN和OpenVPN。在啟用 VPN 和間諜軟體功能之前,Fake SecureVPN 會請求啟動密鑰,以防止動態惡意軟體分析沙箱將其標記為惡意應用程式。
應該注意的是,這些惡意修補的應用程式有八個版本可通過分發網站獲得,並帶有代碼更改和更新。應用程式修改的主要目的是提取敏感的用戶數據並積極監視受害者的消息傳遞應用程式。
據報導,巴哈姆特會仔細選擇其目標,特別是中東和南亞的實體和個人,因為該應用程式要求受害者輸入啟動密鑰以使用分發向量啟用這些功能,然後使用魚叉式網路釣魚消息和虛假應用程式進行攻擊。然後,它通過網站分發惡意Android應用程式 thesecurevpn[.]com,它使用合法 SecureVPN 服務的名稱,但不使用其內容或樣式(在域 securevpn.com)。
這個虛假的 SecureVPN 網站是使用免費的 Web 範本構建的,該範本很可能被威脅行為者用作靈感,因為它只需要進行微小的更改並且看起來值得信賴。
分發後,虛假應用程式會在啟用 VPN 和間諜軟體功能之前請求啟動密鑰。密鑰和URL被發送給目標使用者,允許駭客遠端控制間諜軟體並在受害者不知情的情況下滲透/收集機密用戶數據,例如通話記錄,簡訊,設備位置,WhatsApp數據,電報和信號數據等。
這篇文章的來源包括 Hackread中的一篇文章。
