Il sistema operativo Android è desiderabile per la sua apertura e per l’ampia varietà di app gratuite presenti nel suo store di contenuti. No, e nonostante il fatto che il vettore di attacco in questo caso non sia il Play Store, questa apertura lo rende un bersaglio allettante per i malintenzionati, una realtà esacerbata dalla sua base di utenti mondiale, potenziali obiettivi. Il team di ricercatori di ESET ha rivelato l’ultimo caso di malware Android. L’ente europeo, specializzato in sicurezza informatica, ha individuato una campagna attiva rivolta agli utenti Android. L’applicazione dannosa utilizzata era una versione “trojan” di una delle due applicazioni VPN legittime, SoftVPN e OpenVPN. Questa stessa campagna è portata avanti dal gruppo maligno Bahamut e l’obiettivo principale della campagna spyware è il furto di dati sensibili degli utenti. Questo, in aggiunta alle attività di spionaggio sulle app di messaggistica più diffuse, solleva grandi preoccupazioni. Tra le piattaforme prese di mira ci sono servizi come WhatsApp🇧🇷 Facebook messengerSignal, Viber e cable🇧🇷🇷
Più precisamente, in diversi momenti l’applicazione utilizzata era una versione “cavallo di Troia” di una delle due applicazioni VPN legittime, SoftVPN e OpenVPN. In ogni caso, l’applicazione è personalizzata con programmi di spionaggio del gruppo di isole Bahamut. L’agenzia di sicurezza avverte che per modificare il codice sono necessarie almeno otto versioni di queste app dannose. A seconda delle informazioni, vengono aggiornate attraverso il sito di distribuzione. Cioè, entrambe le proprietà che rivelano una campagna ben organizzata che è stata attiva dall’inizio del 2022. Tuttavia, nessuna delle app dannose era disponibile per il download dal Google Play Store. Va notato che il metodo di distribuzione delle applicazioni con spyware rivela, di norma, una campagna organizzata. Le applicazioni spyware del gruppo sono distribuite attraverso un falso sito web SecureVPN che fornisce solo applicazioni Android “trojan” da scaricare. Questo sito non è associato a software e servizi SecureVPN multipiattaforma legittimi.
Lo spyware mira a rubare informazioni da WhatsApp, Facebook Messenger, Signal, Viber e Telegram.
L’obiettivo della campagna è quello di rubare messaggi SMS e telefonate registrate. Questo in aggiunta ai messaggi di chat dalle app di messaggistica come WhatsApp, Facebook Messenger, Signal, Viber e Telegram. Tuttavia, secondo l’agenzia, si tratta probabilmente di tentativi di infiltrazione altamente mirati. L’applicazione dannosa richiede una chiave di attivazione prima di attivare la funzionalità VPN e spyware. È probabile che sia la chiave di accesso che il link al sito web fasullo vengano inviati direttamente a specifici utenti target. Questo livello di sicurezza ha lo scopo di proteggere un payload dannoso dall’attivarsi immediatamente dopo l’invio a un dispositivo finale non previsto o dopo l’analisi. L’indagine ha rivelato un metodo di protezione simile in un’altra spedizione del gruppo delle Isole Bahamut.
Il furto di dati è lo scopo principale di questo malware Android.
Tutti i dati devianti vengono memorizzati in un database locale e poi inoltrati a un server di comando e controllo (C&C). La funzionalità spyware della raccolta include la capacità di aggiornare l’applicazione dannosa quando riceve un link a una nuova versione del server di comando e controllo. I messaggi di spearphishing e le applicazioni false sono comunemente utilizzati dal gruppo Bahamut come vettore di attacco iniziale contro entità e individui in Medio Oriente e Asia meridionale. Nel caso di questa campagna, il vettore di distribuzione iniziale non era ancora noto. Le Isole Bahamut sono specializzate nello spionaggio informatico e sono indicate come un gruppo di mercenari con servizi di accesso non autorizzato a pagamento per vari clienti.
