被称为Bahamut的网络间谍组织被认为是一场针对性很强的活动的幕后黑手,该活动利用旨在提取敏感信息的恶意应用程序感染Android设备用户。

斯洛伐克网络安全公司ESET在与《黑客新闻》分享的一份新报告中表示,该活动自2022年1月以来一直处于活跃状态,需要通过一个为此目的而设立的虚假SecureVPN网站分发恶意VPN应用程序。

迄今为止,已经发现了至少8种不同版本的间谍软件应用程序,它们都是合法VPN应用程序的木马版本,如SoftVPN和OpenVPN。

被篡改的应用程序及其更新是通过欺诈网站推送给用户的。人们还怀疑目标是精心挑选的,因为启动应用程序需要受害者输入激活密钥来启用功能。

这意味着使用了一种不确定的传播向量,尽管过去的证据表明,它可以采取鱼叉式网络钓鱼电子邮件、短信或社交媒体应用程序上的直接消息的形式。

激活密钥机制还被设计成与参与者控制的服务器通信,有效地防止恶意软件在非目标用户设备上启动后被意外触发。

Bahamut在2017年被Bellingcat揭露,它是一个黑客雇佣行动,目标是政府官员、人权组织和南亚和中东的其他知名实体,他们使用恶意的Android和iOS应用程序监视受害者。

黑莓在2020年10月指出:“黑莓发现的Bahamut商业技巧中,最显著的一点可能是该集团使用了精心制作的原创网站、应用程序和人物角色。”

今年早些时候,Cyble详细介绍了该组织策划的两组网络钓鱼攻击,目的是推广伪装成聊天应用的假冒Android应用。

最新一波浪潮遵循着类似的轨迹,诱使用户安装看似无害的VPN应用程序,这些应用程序可以窃取大量信息,包括文件、联系人列表、短信、电话录音、位置,以及来自WhatsApp、Facebook Messenger、Signal、Viber、Telegram和微信的消息。

ESET研究人员Lukášštefanko表示:“数据泄露是通过恶意软件的键盘记录功能完成的,它滥用了可访问性服务。”

有迹象表明,该行动得到了很好的维护,在转移到OpenVPN之前,黑客最初将恶意代码打包在SoftVPN应用程序中,这一转变的原因是实际的SoftVPN应用程序停止了工作,无法再建立VPN连接。

Štefanko补充道:“Bahamut APT集团运营的移动营销活动仍然活跃;它使用的方法与过去一样,通过冒充或伪装成合法服务的网站分发其Android间谍软件应用程序。”