Gli hacker modificano la popolare app Android OpenVPN per includere spyware
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 28 Novembre 2022
Tags: #sicurezza, #trojan, #Vpn
Tags: #sicurezza, #trojan, #Vpn
Gli hacker modificano la popolare app Android OpenVPN per includere spyware
Gli hacker riconfezionano SoftVPN e OpenVPN in versioni Android dannose
Un attore di minacce associato alle operazioni di spionaggio informatico almeno dal 2017 ha attirato le vittime con un falso software VPN per Android che è una versione trojanizzata del software legittimo SoftVPN e OpenVPN.
I ricercatori affermano che la campagna era "altamente mirata" e mirava a rubare dati di contatto e chiamate, posizione del dispositivo e messaggi da più app.
Rappresentazione del servizio VPN
L'operazione è stata attribuita a un attore di minacce avanzato rintracciato come Bahamut, che si ritiene sia un gruppo mercenario che fornisce servizi di hacking su commissione.
L'analista di malware ESET Lukas Stefanko afferma che Bahamut ha riconfezionato le app SoftVPN e OpenVPN per Android per includere codice dannoso con funzioni di spionaggio.
In questo modo, l'attore si è assicurato che l'app continuasse a fornire funzionalità VPN alla vittima estraendo informazioni sensibili dal dispositivo mobile.
Per nascondere il loro funzionamento e per motivi di credibilità, Bahamut ha utilizzato il nome SecureVPN (che è un servizio VPN legittimo) e ha creato un sito Web falso
Stefanko afferma che l'app VPN fraudolenta degli hacker può rubare contatti, registri delle chiamate, dettagli sulla posizione, SMS, spiare chat in app di messaggistica come Signal, Viber, WhatsApp, Telegram e Messenger di Facebook, nonché raccogliere un elenco di file disponibili in archiviazione esterna.
Il ricercatore di ESET ha scoperto otto versioni dell'app VPN di spionaggio di Bahamut, tutte con numeri di versione cronologici, suggerendo uno sviluppo attivo.
Tutte le app false includevano codice osservato solo in operazioni attribuite a Bahamut in passato, come la campagna SecureChat documentata dalle società di sicurezza informatica Cyble e CoreSec360 [1, 2].
Confronto delle query SQL nel codice dannoso che Bahamut ha utilizzato nelle sue campagne SecureVPN e SecureChat
SQL interroga Bahamut utilizzato nelle sue app dannose SecureChat e SecureVPN
fonte: ESET
Vale la pena notare che nessuna delle versioni VPN trojanizzate era disponibile tramite Google Play, il repository ufficiale delle risorse Android, un'altra indicazione della natura mirata dell'operazione.
Il metodo per il vettore di distribuzione iniziale è sconosciuto, ma potrebbe essere qualsiasi cosa, dal phishing tramite e-mail, social media o altri canali di comunicazione.
I dettagli sulle operazioni di Bahamut sono emersi nello spazio pubblico nel 2017 quando i giornalisti del gruppo investigativo Bellingcat hanno pubblicato un articolo sull'attore di spionaggio che prendeva di mira gli attivisti per i diritti umani del Medio Oriente.
Collegare Bahamut ad altri attori delle minacce è un compito arduo considerando che il gruppo fa molto affidamento su strumenti pubblicamente disponibili, cambia costantemente tattiche e i suoi obiettivi non si trovano in una particolare regione.
Tuttavia, i ricercatori di BlackBerry notano in un ampio rapporto su Bahamut nel 2020 che il gruppo "sembra non solo essere ben finanziato e dotato di risorse adeguate, ma anche esperto nella ricerca sulla sicurezza e nei pregiudizi cognitivi spesso posseduti dagli analisti".
Alcuni gruppi di attori delle minacce a cui Bahamut è stato associato includono Windshift e Urpage.