- #Bezpečnosť na internete
- 2 min.
- 25.11.2022
Vytypujú si vás a malvér ukradne komunikáciu. Ako fungujú falošné VPN?
Výskumníci slovenskej spoločnosti ESET odhalili kybernetickú kampaň zacielenú na používateľov Androidu, ktorú má na svedomí skupina Bahamut. Získa od vás konverzácie z najznámejších četovacích aplikácií.
Škodlivá kampaň skupiny Bahmut trvá už od začiatku tohto roka. Spyvérové aplikácie útočníci rozširujú prostredníctvom falošnej stránky služby SecureVPN, ktorá s tou legitímnou nemá nič spoločné.
Aplikácie použité v tejto kampani, ktoré neboli nikdy k dispozícii na stiahnutie v obchode Google Play, dokážu kradnúť kontakty, SMS správy, nahraté hovory a dokonca správy z známych četovacích aplikácií ako napríklad WhatsApp, Facebook Messenger, Signal, Viber a Telegram.
Lukáš Štefanko, výskumník spoločnosti ESET, odhalil, že k exfiltrácii dát dochádza prostredníctvom funkcionality na zaznamenávanie stlačení klávesnice, ktorá zneužíva služby dostupnosti. Aplikácia si navyše vypýta aktivačný kľúč ešte pred povolením VPN a sledovacej funkcionality.
Táto vrstva má za cieľ zabrániť spusteniu škodlivého kódu na zariadeniach osôb, ktoré nie sú v hľadáčiku útočníkov a chrániť ho pred analýzou bezpečnostnými expertmi. Podobná forma ochrany bola zaznamenaná aj v inej kampani z dielne skupiny Bahamut.
Všetky ukradnuté dáta sú ukladané do lokálnej databázy a následne odoslané na riadiaci server. Ak je sledovacia funkcionalita povolená, útočníci dokážu spyvér ovládať na diaľku a získať rôzne citlivé dáta.
APT skupina Bahamut používa na získanie prvotného prístupu k obetiam zvyčajne spearpishingové správy a falošné aplikácie. Medzi ciele patria najmä organizácie a jednotlivci na Blízkom východe a v južnej Ázii.
Skupina Bahamut je známa aj tým, že ponúka svoje služby širokej škále klientov. Skupinu pomenovalo zoskupenie investigatívnych novinárov Bellingcat po obrovskej rybe brázdiacej Arabské more, spomenutej v knihe Fantastická zoológia od autora Jorgeho Luisa Borgesa.