Threats
O grupo cibercriminoso Bahamut criou uma aplicação maliciosa para roubar dados sensíveis de utilizadores e espiar as apps de mensagens das vítimas, incluindo WhatsApp, Facebook Messenger, Signal, Viber e Telegram
31/12/2022
|
Investigadores da Eset identificaram uma campanha ativa que visa utilizadores de Android. Conduzida pelo grupo malicioso Bahamut, o principal objetivo da campanha de spyware é o roubo de dados sensíveis de utilizadores bem como atividades de espionagem de apps de mensagem como WhatsApp, Facebook Messenger, Signal, Viber e Telegram. Em períodos distintos, a app usada foi uma versão “trojanizada” de uma de duas apps de VPN legítimas, SoftVPN e OpenVPN. Em ambos os casos, a app foi personalizada com código de spyware do grupo Bahamut. A Eset identificou pelo menos oito versões destas apps maliciosas personalizadas com mudança de código e atualizadas através de um website de distribuição, ambas características que revelam uma campanha bem organizada e que está ativa desde o início de 2022. No entanto, nenhuma das apps maliciosas esteve alguma vez disponível para download na loja Google Play. As apps com spyware do grupo são distribuídas através de um website SecureVPN falso que fornece apenas apps Android “trojanizadas” para download. Este website não tem qualquer associação com o software e serviço SecureVPN legítimo e multiplataforma. O principal objetivo da campanha é o roubo de contactos, mensagens SMS, chamadas telefónicas gravadas, além de mensagens de chat a partir de aplicações de mensagem como WhatsApp, Facebook Messenger, Signal, Viber e Telegram. Dado que a telemetria da Eset não detetou instâncias de atividade desta campanha de malware, é provável que se tratem de tentativas de infiltração altamente direcionadas. A app maliciosa solicita uma chave de ativação antes do VPN e da funcionalidade de spyware ficarem ativas. Tanto a chave de acesso como o link do website forjado são provavelmente enviados diretamente a utilizadores-alvo específicos. Esta camada de segurança almeja proteger a carga maliciosa de ficar ativa logo após o seu envio para um dispositivo final não intencionado ou quando está a ser analisada. A investigação da Eset detetou um método de proteção semelhante noutra campanha do grupo Bahamut. Todos os dados desviados são armazenados numa base de dados local e depois são remetidos para o servidor Command and Control (C&C). A funcionalidade de spyware do grupo inclui a capacidade de atualizar a app maliciosa ao receber um link para uma nova versão do servidor C&C. |
Receba todas as novidades na sua caixa de correio!
NEWS
CNCS lança referencial de comunicação de risco e crise
THREATS
CNCS lança alerta para campanhas de CEO fraud
THREATS
Maioria dos dispositivos infetados com malware são empresariais
NEWS
CISA lança sistema de análise de malware de última geração para uso público
BLUE TEAM
Warpcom assume compromisso junto de clientes com soluções alinhadas com a transformação digital e a cibersegurança
THREATS
Investigadores interrompem tentativa de aquisição credível em projetos de software open-source
THREATS
Cibercriminosos patrocinados pelo Estado exploram zero-day em firewalls
THREATS
RA World é o ataque de ransomware mais emergente
THREATS
Juniper Networks lança novas correções para vulnerabilidades
THREATS
Maioria dos dispositivos infetados com malware são empresariais
