Pesquisadores de segurança da ESET descobriram que o infame grupo de cibermercenários, Bahamut APT, tem usado aplicativos VPN falsos como um portador de malware perigoso direcionado a telefones Android. Os pesquisadores encontraram pelo menos oito versões do spyware Bahamut em versões trojanizadas de aplicativos Android populares, SoftVPN e OpenVPN. Esses aplicativos nunca estiveram disponíveis para download na Google Play Store.
Depois de instalado, o spyware pode acessar dados confidenciais, como contatos, mensagens SMS, registros de chamadas, localização do dispositivo e chamadas telefônicas gravadas. O spyware também pode espionar informações sobre chamadas e mensagens de bate-papo de aplicativos de mensagens como Messenger, Viber, Signal, WhatsApp, Telegram e WeChat e pode extrair outros dados, como informações bancárias, usando keylogging.
O grupo Bahamut usou uma versão falsificada do aplicativo SecureVPN para distribuir o spyware. Esses aplicativos solicitam uma chave de ativação dos indivíduos visados antes de habilitar a VPN para evitar a detecção. Essa chave impede que a carga maliciosa seja acionada em dispositivos que não pertencem à vítima visada. Assim, garantindo que o aplicativo passe despercebido durante a instalação.
Notavelmente, o falso aplicativo SecureVPN não compartilha nenhuma semelhança com o aplicativo original, que é atípico para phishing. Os sites de phishing parecem idênticos para enganar os usuários para que instalem o aplicativo. A ESET afirma que o grupo manteve a campanha muito bem, pois descobriram oito versões do spyware Bahamut.
Esse é um dos muitos motivos pelos quais os usuários devem evitar a instalação de aplicativos de fontes não confiáveis na Internet. A ESET diz que a campanha começou em janeiro deste ano e ainda está ativa.
O grupo Bahamut APT
O grupo de cibermercenários Bahamut APT é especializado em ciberespionagem usando mensagens de spearphishing e aplicativos falsos como vetor de ataque inicial para roubar informações confidenciais de suas vítimas. Bahamut é frequentemente referido como um grupo mercenário que oferece serviços de aluguel de hackers para uma ampla gama de clientes. O grupo visa entidades e indivíduos no Oriente Médio e Sul da Ásia.
O grupo de jornalismo Bellingcat descobriu suas operações pela primeira vez em 2017, afirmando como as potências internacionais e regionais estão envolvidas em operações de vigilância. Bellingcat nomeou o grupo em homenagem ao peixe gigante flutuando no Mar Arábico descrito no Livro dos Seres Imaginários de Jorge Luis Borges.
“Bahamut é, portanto, notável como uma visão do futuro, onde as comunicações modernas diminuíram as barreiras para os países menores realizarem uma vigilância eficaz sobre os dissidentes domésticos e se estenderem além de suas fronteiras”, concluiu Bellingcat.