- ESETi teadurid on tuvastanud aktiivse kampaania, mille sihtmärk on Androidi kasutajad ja mille korraldas rühm Bahamut APT.
- Nuhkvara põhieesmärk on ekstraktida tundlikke kasutajaandmeid ja aktiivselt nuhkida ohvrite sõnumiäppide (nt WhatsApp, Facebook Messenger, Signal, Viber ja Telegram) järele.
- Kasutatud äpil on eri aegadel olnud ühe kahest seaduslikust VPNi rakendusest, SoftVPN või OpenVPN, troojastatud versioon, mis on ümber pakitud Bahamuti nuhkvarakoodiga.
- Kampaania sihtmärgid näivad olevat täpsed, sest kui Bahamuti nuhkvara on käivitatud, küsib see enne VPNi ja nuhkvara funktsioonide lubamist aktiveerimisvõtit. Nii aktiveerimisvõti kui ka veebisaidi link saadetakse tõenäoliselt sihitud kasutajatele.
- ESET on suutnud tuvastada nende pahatahtlikult paigatud äppide vähemalt kaheksa versiooni, mille koodimuudatused ja värskendused muudeti kättesaadavaks jagamisveebisaidil, mis võib tähendada kampaania korralikku käigushoidmist.
BRATISLAVA, KOŠICE — 23. november 2022 — ESETi teadurid on tuvastanud aktiivse kampaania, mille sihtmärk on Androidi kasutajad ja mille korraldas rühm Bahamut APT. See kampaania on kestnud selle aasta algusest. Pahatahtlikke nuhkvaraäppe levitatakse võltsitud SecureVPNi veebisaidi kaudu, mis pakub allalaadimiseks ainult troojastatud Androidi rakendusi. Sellel veebisaidil pole mingit seost seadusliku mitmeplatvormilise SecureVPNi tarkvara ja teenusega. Selles kampaanias kasutatavad pahatahtlikud äpid suudavad välja smugeldada kontakte, SMS-sõnumeid, salvestatud telefonikõnesid ja isegi vestlussõnumeid sellistest rakendustest nagu WhatsApp, Facebook Messenger, Signal, Viber ja Telegram. ESETi teadurid on avastanud vähemalt kaheksa Bahamuti nuhkvaraversiooni, mis võib tähendada kampaania korralikku käigushoidmist. Pahatahtlikud äpid polnud kunagi Google Playst allalaadimiseks saadaval.
“Andmete väljasmugeldamine toimub pahavara klahvilogimise funktsiooni kaudu, mis väärkasutab juurdepääsetavuse teenuseid. Kampaania sihtmärgid näivad olevad täpsed, sest me ei näe oma telemeetriaandmetes ühtegi eksemplari,” selgitab ohtliku Androidi pahavara avastanud ja analüüsinud ESETi teadur Lukáš Štefanko. “Lisaks küsib äpp enne VPNi ja nuhkvara funktsioonide lubamist aktiveerimisvõtit. Nii aktiveerimisvõti kui ka veebisaidi link saadetakse tõenäoliselt sihitud kasutajatele,” lisab Štefanko. Selle kihi eesmärk on kaitsta pahatahtlikku lasti kohe pärast käivitamist mittesihitud kasutaja seadmes või analüüsimise ajal. ESET Research on juba näinud sarnast kaitset Bahamut-rühma teises kampaanias.
Kõik väljasmugeldatud andmed salvestatakse kohalikku andmebaasi ja saadetakse seejärel Command and Control (C&C) serverisse. Bahamuti nuhkvarafunktsioonid hõlmavad äpi värskendamise võimalust, saades C&C serverist lingi uuele versioonile.
Kui Bahamuti nuhkvara on lubatud, saavad Bahamuti operaatorid seda kaugjuhtida ja see võib välja smugeldada mitmesuguseid tundlikke seadmeandmeid, nagu kontaktid, SMS-id, kõnelogid, installitud äppide loend, seadme asukoht, seadme kontod, seadme teave (internetiühenduse liik, IMEI, IP, SIM-kaardi seerianumber), salvestatud telefonikõned ja välismälu faililoend. Juurdepääsetavusteenuseid väärkasutades võib pahavara varastada SafeNotesi rakendusest märkmeid ning aktiivselt nuhkida vestlussõnumeid ja teavet kõnede kohta populaarsetest sõnumsiderakendustest, nagu imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat ja Conion.
Rühm Bahamut APT kasutab tavaliselt Lähis-Ida ja Lõuna-Aasia üksuste ja üksikisikute vastu suunatud ründevektoritena andmepüügisõnumeid ja võltsrakendusi. Bahamut on spetsialiseerunud küberspionaažile ja ESET Research usub, et selle eesmärk on varastada oma ohvritelt delikaatseid andmeid. Bahamuti nimetatakse ka palgasõdurite rühmaks, mis pakub häkkimisteenuseid paljudele klientidele. Nime andis sellele ohutoimijale, kes näib olevat andmepüügi meister, uuriva ajakirjanduse rühm Bellingcat. Bellingcat nimetas rühma laias Araabia meres hõljuvate suurte kalade järgi, mida nimetatakse Jorge Luis Borgese kirjutatud “Kujuteldavate olendite raamatus”. Bahamuti kirjeldatakse Araabia mütoloogias sageli kui kujuteldamatult suurt kala.
Lisateavet rühma Bahamuti APT uusima kampaania kohta leiad WeLiveSecurity blogipostitusest “Küberpalgasõdurite rühm Bahamut sihib Androidi kasutajaid VPNi võltsäppidega“. Jälgi kindlasti ESET Researchi Twitteris, kus on viimased uudised ESET Researchilt.
SecureVPNi veebisait pakub allalaadimiseks troojastatud äpi.
