Laut einem Blog des Cybersicherheitsforschungsunternehmens ESET hat das Team ein aktives Kampagnen-Targeting identifiziert Android Benutzer. Die Kampagne wird Berichten zufolge von der Bahamut APT-Gruppe durchgeführt und ist seit Januar 2022 aktiv.
Wie wird Malware verbreitet?
In dieser Kampagne verbreitet die „Cybermercary Group“ bösartige Apps über eine gefälschte SecureVPN-Website, die nur Android-Apps zum Herunterladen anbietet. Die mit Malware beladenen Apps, die über die Website verwendet werden, sollen denselben Namen – SoftVPN und OpenVPN – wie die legitimen Apps verwenden.
Diese gefälschten Versionen dieser Apps sind mit Bahamut-Spyware-Code neu verpackt, den die Bahamut-Gruppe in der Vergangenheit verwendet hat, um Menschen anzugreifen. ESET sagt, dass sie mindestens acht Versionen dieser böswillig gepatchten Apps identifiziert haben.
Der Hauptzweck dieser Apps besteht darin, sensible Benutzerdaten zu extrahieren und die Messaging-Apps der Opfer auszuspionieren, behauptet die Firma. Diese Apps exfiltrieren Kontakte, SMS-Nachrichten, aufgezeichnete Telefonanrufe und sogar Chat-Nachrichten von Apps wie z SignalViber und Telegramm.
„Wir glauben, dass die Ziele sorgfältig ausgewählt werden, da die Bahamut-Spyware nach dem Start einen Aktivierungsschlüssel anfordert, bevor die VPN- und Spyware-Funktionalität aktiviert werden kann. Sowohl der Aktivierungsschlüssel als auch der Website-Link werden wahrscheinlich an die Zielbenutzer gesendet“, heißt es in ein Blogbeitrag.
Arbeit der Bahamut APT-Gruppe
Laut ESET richtet sich die Bahamut APT-Gruppe an Unternehmen und Einzelpersonen im Nahen Osten und Südasien. Die auf Cyberspionage spezialisierte Gruppe wird „auch als Söldnergruppe bezeichnet, die einem breiten Spektrum von Kunden Hack-for-Hire-Dienste anbietet“. Die mobile Kampagne des Konzerns ist Berichten zufolge noch aktiv.