Schadelijke spyware-apps worden verspreid via een nep-SecureVPN-website die alleen Android-apps met trojans aanbiedt om te downloaden. Deze website heeft geen enkele link met de legitieme, multiplatform SecureVPN-software en -service. Kwaadaardige apps die in deze campagne gebruikt worden, kunnen contacten, sms-berichten, opgenomen telefoongesprekken en zelfs chatberichten van apps zoals WhatsApp, Facebook Messenger, Signal, Viber en Telegram stelen.
· Onderzoekers van ESET hebben een actieve campagne geïdentificeerd gericht op Android-gebruikers, uitgevoerd door de Bahamut APT-groep.
· Het hoofddoel van de spyware is het exfiltreren van gevoelige gebruikersgegevens en het actief bespioneren van berichten-apps van slachtoffers, zoals WhatsApp, Facebook Messenger, Signal, Viber en Telegram.
· De gebruikte app was op meerdere momenten een getrojaniseerde versie van een van de twee legitieme VPN-apps, SoftVPN of OpenVPN, herverpakt met Bahamut-spywarecode.
· De campagne lijkt zeer doelgericht want zodra de Bahamut-spyware gelanceerd is, vraagt deze om een activeringssleutel voordat de VPN- en spywarefunctionaliteit kan ingeschakeld worden. Zowel de sleutel als de weblink worden wellicht naar specifieke gebruikers verzonden.
· ESET kon ten minste acht versies van deze kwaadwillig gepatchte apps identificeren met codewijzigingen en updates die beschikbaar waren via de distributiewebsite, wat kan betekenen dat de campagne goed wordt bijgewerkt.
BRATISLAVA, 23 november 2022 — Onderzoekers van ESET hebben een actieve campagne geïdentificeerd, gericht op Android-gebruikers en uitgevoerd door de Bahamut APT-groep. Deze campagne loopt sinds begin dit jaar. Schadelijke spyware-apps worden verspreid via een nep-SecureVPN-website die alleen Android-apps met trojans aanbiedt om te downloaden. Deze website heeft geen enkele link met de legitieme, multiplatform SecureVPN-software en -service. Kwaadaardige apps die in deze campagne gebruikt worden, kunnen contacten, sms-berichten, opgenomen telefoongesprekken en zelfs chatberichten van apps zoals WhatsApp, Facebook Messenger, Signal, Viber en Telegram stelen. ESET ontdekte minstens acht versies van de Bahamut-spyware, wat kan betekenen dat de campagne goed wordt bijgewerkt. De kwaadaardige apps konden nooit van Google Play gedownload worden.
“De data-exfiltratie gebeurt via de keylogging-functionaliteit van de malware, die toegangsmogelijkheden misbruikt. De campagne lijkt zeer doelgericht daar we geen gevallen in onze telemetriegegevens zien,” zegt Lukáš Štefanko, de onderzoeker die de gevaarlijke Android-malware ontdekte en analyseerde. “Bovendien vraagt de app om en activeringssleutel vooraleer de VPN- en spywarefunctionaliteit kan worden ingeschakeld. Zowel de activeringssleutel als de weblink worden wellicht naar specifieke gebruikers gestuurd”, aldus Štefanko. Deze laag is er om te voorkomen dat de schadelijke lading geactiveerd wordt net na de lancering op een niet-gericht gebruikersapparaat of wanneer deze geanalyseerd wordt. ESET Research zag ook dat dergelijke bescherming gebruikt wordt in een andere campagne van de Bahamut-groep.
Alle geëxfiltreerde gegevens worden opgeslagen in een lokale database en dan verzonden naar de Command and Control (C&C)-server. De Bahamut-spywarefunctionaliteit omvat de mogelijkheid om de app bij te werken door een link te ontvangen naar een nieuwe versie van de C&C-server.
Als de spyware ingeschakeld is, kan deze op afstand door Bahamut-operatoren beheerd worden en verschillende gevoelige gegevens van het apparaat exfiltreren, zoals contacten, sms-berichten, oproeplogboeken, lijst met geïnstalleerde apps, locatie en accounts, apparaatnaam en -informatie (internetverbinding type, IMEI, IP, SIM-serienummer), opgenomen telefoongesprekken en een lijst met bestanden op externe opslag. Door misbruik te maken van toegangsservices, kan de malware notities stelen van de SafeNotes-app en chatberichten en oproepinformatie bespioneren van populaire berichten-apps, zoals imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat en Conion.
Bahamut APT gebruikt doorgaans spearphishing-berichten en nep-apps als eerste aanvalsvector tegen entiteiten en individuen in het Midden-Oosten en Zuid-Azië. Bahamut is gespecialiseerd in cyberspionage en ESET Research is van mening dat het stelen van gevoelige informatie van zijn slachtoffers zijn doel is. Bahamut wordt ook een huurlingengroep genoemd die hack-for-hire-diensten aanbiedt aan een breed scala klanten. De naam Bahamut werd door de groep onderzoeksjournalisten Bellingcat gegeven aan deze bedreigingsactor en meester in phishing. De naam komt van de enorme vis uit de Arabische Zee beschreven in het ‘Book of Imaginary Beings’, door Jorge Luis Borges. Bahamut wordt in de Arabische mythologie vaak beschreven als een onvoorstelbaar grote vis.
Voor meer technische informatie over de nieuwste campagne van Bahamut APT Group, lees de blog “Bahamut cybermercenary group targets Android users with fake VPN apps” op WeLiveSecurity. Volg ESET Research on Twitter voor het laatste nieuws over ESET Research.
