I ricercatori ESET avrebbero scoperto una nuova ondata di attacchi da parte del famigerato gruppo APT Bahamut. I cyber criminali avrebbero lanciato attacchi tramite messaggi di spear phishing in una campagna che, sebbene avviata il 22 gennaio scoro, sarebbe ancora attiva.
Per portare avanti gli attacchi, gli attori della minaccia sfrutterebbero finte app VPN per Android usate per ottenere un punto di accesso ai dispositivi delle vittime ed esfiltrare non solo contatti, messaggi SMS e registri chiamate, ma anche informazioni e chat.
Indice degli argomenti
Il falso servizio VPN a noleggio
In particolare, sempre secondo il rapporto di ESET, il gruppo utilizzerebbe nello specifico, per la distribuzione dello spyware, delle applicazioni trojanizzate VPN per Android tramite un falso sito Web (“thesecurevpn[.]com”, 172.67.185[.]54) spacciato come servizio del sito legittimo SecureVPN (“https://securevpn.com”).
La grafica suggerirebbe che per la realizzazione della piattaforma è stato utilizzato il modello web gratuito ThemeWagon.
ESET rimarca che il malware impiegato in questa campagna non ha assolutamente alcuna associazione con il software e il servizio SecureVPN legittimo.
Le finte app VPN con lo spyware
I ricercatori avrebbero identificato diverse varianti delle app fittizie contenenti il codice dannoso di Bahamut e spacciate per due diverse app VPN legittime, SoftVPN e OpenVPN, utilizzate come applicazioni principali:
- SecureVPN_104.apk
- SecureVPN_105.apk
- SecureVPN_106.apk
- SecureVPN_107.apk
- SecureVPN_108.apk
- SecureVPN_109.apk
- SecureVPN_1010.apk
- SecureVPN_1010b.apk
Nell’immagine sottostante è riportato un esempio di un APK fittizio SecureVPN con codice dannoso incluso nell’applicazione OpenVPN (fonte ESET).
L’attribuzione al gruppo Bahamut
ESET attribuirebbe questa campagna al gruppo APT Bahamut a seguito delle forti somiglianze riscontrate tra il codice usato per implementare le false app VPN e quello del malware SecureChat attribuito quest’estate sempre allo stesso gruppo.
Il gruppo Bahamut, specializzato nello spionaggio informatico, è solito colpire entità e individui in Medio Oriente e Asia meridionale impiegando come vettore di attacco iniziale messaggi di phishing mirati e applicazioni false.
Attivo dal 2017, il suo nome che deriva da Bahamut, un mostruoso pesce descritto nella mitologia araba, è stato assegnato dal team investigativo Bellingcat.
Obiettivi da colpire accuratamente selezionati
Per evitare attivazioni accidentali del malware, le app richiederebbero alla vittima di inserire una chiave di attivazione prima che la falsa funzione VPN venga abilitata. Pertanto le chiavi e l’URL verrebbero inviati a target mirati e accuratamente selezionati sebbene non sia stato chiarito il vettore di distribuzione iniziale (probabilmente social media, SMS o e-mail).
“Riteniamo che gli obiettivi siano scelti con cura, poiché una volta lanciato lo spyware Bahamut, richiede una chiave di attivazione prima che la funzionalità VPN e spyware possa essere abilitata. Sia la chiave di attivazione che il collegamento al sito Web vengono probabilmente inviati a utenti mirati”, afferma Lukas Stefanko, Malware Researcher di ESET.
Solo dopo l’attivazione dell’app e l’abuso dei servizi di accessibilità richiesti, gli attaccanti otterrebbero il controllo remoto del dispositivo, raccogliendo dati riservati tramite lo spyware e esfiltrandoli verso un server C2 presidiato (ft8hua063okwfdcu21pw[.]de, 104.21.10[.]79).
Una volta operativo lo spyware Bahamut sarebbe in grado di carpire contatti, registri delle chiamate, messaggi SMS, posizione del dispositivo e anche chat e informazioni di app di messagistica istantanea tra cui WhatsApp, Telegram e Signal tramite tipiche funzionalità di keylogging, registrando i caratteri scritti e letti sullo schermo.
I consigli per difendersi dallo spyware
Il consiglio in questi casi è sempre quello di:
- prestare attenzione alla legittimità degli indirizzi web, interpretandoli in modo corretto;
- diffidare delle offerte sensazionali;
- non scaricare software pirata;
- riferirsi, seppur sempre e comunque con cautela, agli app store ufficiali.
