Un infame grupo de mercenarios cibernéticos está inyectando un spyware en los dispositivos Android para robar las conversaciones de los usuarios, según una nueva investigación de ESET (se abre en una pestaña nueva) ha encontrado.
Estos ataques de malware se lanzan a través de aplicaciones VPN de Android falsas, con evidencia que sugiere que los piratas informáticos emplearon versiones maliciosas del software SecureVPN, SoftVPN y OpenVPN.
Conocido como Bahamut ATP, se cree que el grupo es un servicio de alquiler que normalmente lanza ataques a través de mensajes de phishing y aplicaciones falsas. Según informes anteriores, sus piratas informáticos han estado apuntando tanto a organizaciones como a individuos en Medio Oriente y el sur de Asia desde 2016.
Se estima que comenzó en enero de 2022, los investigadores de ESET creen que la campaña del grupo de distribución de VPN maliciosas actualmente continúa.
Desde correos electrónicos de phishing hasta VPN falsas
«La campaña parece estar muy dirigida, ya que no vemos instancias en nuestros datos de telemetría», dijo Lukáš Štefanko, el investigador de ESET que descubrió el malware por primera vez.
«Además, la aplicación solicita una clave de activación antes de que se pueda habilitar la funcionalidad de VPN y spyware. Es probable que tanto la clave de activación como el enlace del sitio web se envíen a los usuarios específicos».
Štefanko explica que, una vez que se activa la aplicación, los piratas informáticos de Bahamut pueden controlar el software espía de forma remota. Esto significa que pueden infiltrarse y recolectar una tonelada de datos confidenciales de los usuarios.
«La exfiltración de datos se realiza a través de la funcionalidad de registro de teclas del malware, que hace un mal uso de los servicios de accesibilidad», dijo.
Desde mensajes SMS, registros de llamadas, ubicaciones de dispositivos y cualquier otro detalle, hasta aplicaciones de mensajería encriptada como WhatsApp, Telegram o Signal, estos ciberdelincuentes pueden espiar prácticamente cualquier cosa que encuentren en los dispositivos de las víctimas sin que ellas lo sepan.
ESET identificó al menos ocho versiones de estos servicios VPN troyanos, lo que significa que la campaña está bien mantenida.
Vale la pena señalar que en ningún caso se asoció software malicioso con el servicio legítimo, y ninguna de las aplicaciones infectadas con malware se promocionó en Google Play.
Sin embargo, aún se desconoce el vector de distribución inicial. Mirando hacia atrás en cómo funciona normalmente Bahamut ATP, se podría haber enviado un enlace malicioso por correo electrónico, redes sociales o SMS.
¿Qué sabemos de Bahamut APT?
A pesar de que todavía no está claro quién está detrás, Bahamut ATP parece ser un colectivo de piratas informáticos mercenarios, ya que sus ataques en realidad no siguen un interés político específico.
Bahamut ha realizado prolíficamente campañas de ciberespionaje desde 2016, principalmente en Oriente Medio y el sur de Asia.
El grupo de periodismo de investigación Bellingcat fue el primero en exponer sus operaciones en 2017, y describió cómo las potencias internacionales y regionales participaron activamente en tales operaciones de vigilancia.
«Bahamut es, por lo tanto, notable como una visión del futuro donde las comunicaciones modernas han reducido las barreras para que los países más pequeños lleven a cabo una vigilancia efectiva de los disidentes nacionales y se extiendan más allá de sus fronteras», concluyó. gato cascabel (se abre en una pestaña nueva) en el momento.
Luego, el grupo pasó a llamarse Bahamut, en honor al pez gigante que flota en el Mar Arábigo descrito en el Libro de los seres imaginarios de Jorge Luis Borges.
Más recientemente, otra investigación destacó cómo el grupo de amenazas persistentes avanzadas (APT) está convirtiendo cada vez más los dispositivos móviles en un objetivo principal.
La firma de ciberseguridad Cyble detectó por primera vez esta nueva tendencia en abril pasado (se abre en una pestaña nueva)señalando que el grupo Bahamut «planea su ataque al objetivo, permanece en la naturaleza por un tiempo, permite que su ataque afecte a muchas personas y organizaciones, y finalmente roba sus datos».
También en este caso, los investigadores destacaron la capacidad de los ciberdelincuentes para desarrollar un sitio de phishing tan bien diseñado para engañar a las víctimas y ganarse su confianza.
Como confirmó Lukáš Štefanko sobre el incidente de las aplicaciones falsas de Android: «El código del software espía, y por lo tanto su funcionalidad, es la misma que en campañas anteriores, incluida la recopilación de datos para ser exfiltrados en una base de datos local antes de enviarlos al servidor de los operadores, una táctica raramente visto en aplicaciones móviles de ciberespionaje».