Bahamut 黑客利用虛假 VPN 應用程序攻擊 Android 用戶

被稱為Bahamut的網絡間諜組織被認為是一場針對性很強的活動的幕后黑手，該活動利用旨在提取敏感信息的惡意應用程序感染Android設備用戶。

斯洛伐克網絡安全公司ESET在與《黑客新聞》分享的一份新報告中表示，該活動自2022年1月以來一直處于活躍狀態，需要通過一個為此目的而設立的虛假SecureVPN網站分發惡意VPN應用程序。

迄今為止，已經發現了至少8種不同版本的間諜軟件應用程序，它們都是合法VPN應用程序的木馬版本，如SoftVPN和OpenVPN。

被篡改的應用程序及其更新是通過欺詐網站推送給用戶的。人們還懷疑目標是精心挑選的，因為啟動應用程序需要受害者輸入激活密鑰來啟用功能。

這意味著使用了一種不確定的傳播向量，盡管過去的證據表明，它可以采取魚叉式網絡釣魚電子郵件、短信或社交媒體應用程序上的直接消息的形式。

激活密鑰機制還被設計成與參與者控制的服務器通信，有效地防止惡意軟件在非目標用戶設備上啟動后被意外觸發。

Bahamut在2017年被Bellingcat揭露，它是一個黑客雇傭行動，目標是政府官員、人權組織和南亞和中東的其他知名實體，他們使用惡意的Android和iOS應用程序監視受害者。

黑莓在2020年10月指出：“黑莓發現的Bahamut商業技巧中，最顯著的一點可能是該集團使用了精心制作的原創網站、應用程序和人物角色。”

今年早些時候，Cyble詳細介紹了該組織策劃的兩組網絡釣魚攻擊，目的是推廣偽裝成聊天應用的假冒Android應用。

最新一波浪潮遵循著類似的軌跡，誘使用戶安裝看似無害的VPN應用程序，這些應用程序可以竊取大量信息，包括文件、聯系人列表、短信、電話錄音、位置，以及來自WhatsApp、Facebook Messenger、Signal、Viber、Telegram和微信的消息。

ESET研究人員Luká??tefanko表示：“數據泄露是通過惡意軟件的鍵盤記錄功能完成的，它濫用了可訪問性服務。”

有跡象表明，該行動得到了很好的維護，在轉移到OpenVPN之前，黑客最初將惡意代碼打包在SoftVPN應用程序中，這一轉變的原因是實際的SoftVPN應用程序停止了工作，無法再建立VPN連接。

?tefanko補充道：“Bahamut APT集團運營的移動營銷活動仍然活躍；它使用的方法與過去一樣，通過冒充或偽裝成合法服務的網站分發其Android間諜軟件應用程序。”