¿Eres usuario de Android? Cuidado con la ola de malware que roba datos
Cuando se trata de malware para dispositivos móviles, Android es sin duda el objetivo principal. Recientemente, los investigadores de ESET identificaron una campaña activa dirigida a los usuarios de Android.
Conducida por el grupo malicioso Bahamut, el principal objetivo de la campaña de software espía para Android es el robo de datos confidenciales de los usuarios, así como actividades de espionaje en aplicaciones de mensajería como WhatsApp, Facebook Messenger, Signal, Viber y Telegram.
En diferentes momentos, la aplicación utilizada era una versión "trojonizada" de una de las dos aplicaciones VPN legítimas, SoftVPN y OpenVPN. En ambos casos, la aplicación se personalizó con código de spyware del grupo Bahamut.
ESET ha identificado al menos ocho versiones de estas aplicaciones maliciosas personalizadas con cambios de código y actualizadas a través de un sitio web de distribución, ambas características que revelan una campaña bien organizada que ha estado activa desde principios de 2022. Sin embargo, ninguna de las aplicaciones maliciosas ha estado disponible. para descargar en la tienda Google Play.
Android: Método de distribución de apps con spyware revela campaña organizada
El sitio web falso de SecureVPN se creó en base a una plantilla web gratuita (ver imagen a continuación), que el agente malicioso usó como inspiración, ya que requiere poca personalización y parece legítimo.
Las aplicaciones de software espía del grupo se distribuyen a través de un sitio web falso de SecureVPN que solo proporciona aplicaciones de Android "troyanizadas" para descargar. Este sitio web no tiene ninguna asociación con el software y el servicio SecureVPN legítimos y multiplataforma.
El principal objetivo de la campaña es el robo de contactos, mensajes SMS, llamadas telefónicas grabadas, así como mensajes de chat de aplicaciones de mensajería como WhatsApp, Facebook Messenger, Signal, Viber y Telegram.
Dado que la telemetría de ESET no detectó instancias de actividad de esta campaña de malware, es probable que se trate de intentos de infiltración muy específicos. La aplicación maliciosa solicita una clave de activación antes de que la funcionalidad de VPN y spyware se active. Es probable que tanto la clave de acceso como el enlace del sitio web falsificado se envíen directamente a usuarios objetivo específicos.
Esta capa de seguridad tiene como objetivo proteger la carga útil maliciosa para que no se active justo después de que se envíe a un dispositivo final no deseado o cuando se esté analizando. La investigación de ESET detectó un método de protección similar en otra campaña del grupo Bahamut.
Todos los datos desviados se almacenan en una base de datos local y luego se envían al servidor de comando y control (C&C). La funcionalidad de software espía del grupo incluye la capacidad de actualizar la aplicación maliciosa al recibir un enlace a una nueva versión del servidor C&C.
El grupo malicioso Bahamutusa suele enviar mensajes de phishing y aplicaciones falsas como vector de ataque inicial contra entidades e individuos en el Medio Oriente y el sur de Asia. En el caso de esta campaña, aún no se conoce el vector de distribución inicial. Los Bahamut se especializan en ciberespionaje y se les conoce como un grupo de mercenarios con servicios de acceso no autorizado pagados para varios clientes.