Un infame grupo de mercenarios cibernéticos está inyectando software espía en los dispositivos Android para robar las conversaciones de los usuarios, confirma una nueva investigación de ESET (se abre en una nueva pestaña).
Estos ataques de malware se lanzan a través de aplicaciones VPN de Android falsas. La evidencia sugiere que los piratas informáticos utilizaron versiones maliciosas del software SecureVPN, SoftVPN y OpenVPN.
Conocido como Bahamut ATP, el grupo es visto como un servicio de alquiler que normalmente lanza ataques a través de mensajes de phishing y aplicaciones falsas. Según informes anteriores, sus piratas informáticos han estado apuntando tanto a organizaciones como a individuos en el Medio Oriente y el sur de Asia desde 2016.
Se estima que comenzó en enero de 2022, los investigadores de ESET creen que la campaña del grupo de distribución de VPN malicioso está actualmente en curso.
(Crédito de la imagen: investigación de ESET)
Desde correos electrónicos de phishing hasta VPN falsas
«La campaña parece estar muy dirigida, ya que no vemos ningún caso en nuestros datos de telemetría», dijo Lukáš Štefanko, el investigador de ESET que descubrió el malware.
«Además, la aplicación solicita una clave de activación antes de que se pueda activar la funcionalidad VPN y el spyware. Es probable que la clave de activación y el enlace del sitio web se envíen a los usuarios objetivo».
Štefanko explica que una vez que se activa la aplicación, los piratas informáticos de Bahamut pueden controlar el software espía de forma remota. Esto significa que son capaces de infiltrarse y recopilar una tonelada de datos confidenciales de los usuarios.
«La exfiltración de datos se realiza a través de la función de registro de teclas del malware, que abusa de los servicios de accesibilidad», dijo.
Ya sean mensajes SMS, registros de llamadas, ubicaciones de dispositivos y cualquier otro detalle, o incluso aplicaciones de mensajería encriptada como WhatsApp, Telegram o Signal, estos ciberdelincuentes pueden espiar prácticamente cualquier cosa que encuentren en los dispositivos de las víctimas sin su conocimiento.
ESET ha identificado al menos ocho versiones de estos servicios VPN infectadas con troyanos, lo que significa que la campaña está bien mantenida.
Cabe señalar que en ningún caso se asoció malware con el servicio legítimo y ninguna de las aplicaciones infectadas con malware se promocionó en Google Play.
Sin embargo, el vector de distribución inicial aún se desconoce. Al observar cómo funciona normalmente Bahamut ATP, se podría haber enviado un enlace malicioso por correo electrónico, redes sociales o SMS.
¿Qué sabemos de Bahamut APT?
Aunque todavía no está claro quién está detrás de esto, Bahamut ATP parece ser un colectivo de piratas informáticos mercenarios, ya que sus ataques en realidad no siguen ningún interés político específico.
Bahamut ha estado realizando prolíficas campañas de espionaje cibernético desde 2016, principalmente en el Medio Oriente y el sur de Asia.
El grupo de periodismo de investigación Bellingcat fue el primero en exponer sus operaciones en 2017, describiendo cómo los poderes internacionales y regionales se han involucrado activamente en tales operaciones de vigilancia.
«Bahamut es, por lo tanto, notable como una visión del futuro donde las comunicaciones modernas han reducido las barreras para que los países pequeños lleven a cabo una vigilancia efectiva de los disidentes nacionales y se expandan más allá de sus fronteras», concluyó Bellingcat (opens in a new tab) en ese momento.
Posteriormente, el grupo pasó a llamarse Bahamut, en honor al pez gigante que flota en el Mar Arábigo descrito en el Libro de los seres imaginarios de Jorge Luis Borges.
(Crédito de la imagen: Shutterstock)
Más recientemente, otra investigación destacó cómo el grupo de amenazas persistentes avanzadas (APT) está recurriendo cada vez más a los dispositivos móviles como su objetivo principal.
La firma de seguridad cibernética Cyble detectó por primera vez esta nueva tendencia en abril pasado (se abre en una nueva pestaña), y señaló que el grupo Bahamut «planea su ataque contra el objetivo, permanece en estado salvaje por un tiempo, permite que su ataque afecte a muchas personas y organizaciones, y finalmente roba sus datos».
También en este caso, los investigadores destacaron la capacidad de los ciberdelincuentes para desarrollar un sitio de phishing tan bien diseñado para engañar a las víctimas y ganarse su confianza.
Tal como lo confirmó Lukáš Štefanko por el incidente de las aplicaciones falsas de Android: «El código del software espía, y por lo tanto su funcionalidad, es la misma que en campañas anteriores, incluida la recopilación de datos para ser exfiltrados en una base de datos antes de enviarlos al servidor de los operadores. , una táctica pocas veces vista en aplicaciones de ciberespionaje móvil.
