Los piratas informáticos modifican la popular aplicación de Android OpenVPN para incluir spyware

Un actor de amenazas asociado con operaciones de ciberespionaje desde al menos 2017 ha estado atrayendo a las víctimas con un software VPN falso para Android que es una versión troyana del software legítimo SoftVPN y OpenVPN.

Los investigadores dicen que la campaña estaba “altamente dirigida” y tenía como objetivo robar datos de contacto y llamadas, ubicación del dispositivo, así como mensajes de múltiples aplicaciones.

Suplantación de identidad del servicio VPN

La operación se ha atribuido a un actor de amenazas avanzado rastreado como Bahamut, que se cree que es un grupo mercenario que brinda servicios de pirateo a sueldo.

El analista de malware de ESET, Lukas Stefanko, dice que Bahamut volvió a empaquetar las aplicaciones SoftVPN y OpenVPN para Android para incluir código malicioso con funciones de espionaje.

Al hacer esto, el actor se aseguró de que la aplicación aún brindara la funcionalidad VPN a la víctima mientras extraía información confidencial del dispositivo móvil.

Para ocultar su funcionamiento y con fines de credibilidad, Bahamut usó el nombre SecureVPN (que es un servicio VPN legítimo) y creó un sitio web falso [thesecurevpn] para distribuir su aplicación maliciosa.

Sitio web falso SecureVPN de Bahamut
Sitio web falso SecureVPN de Bahamut

Stefanko dice que la aplicación VPN fraudulenta de los piratas informáticos puede robar contactos, registros de llamadas, detalles de ubicación, SMS, espiar chats en aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Messenger de Facebook, así como recopilar una lista de archivos disponibles en almacenamiento externo.

El investigador de ESET descubrió ocho versiones de la aplicación VPN de espionaje de Bahamut, todas con números de versión cronológicos, lo que sugiere un desarrollo activo.

Todas las aplicaciones falsas incluían código observado solo en operaciones atribuidas a Bahamut en el pasado, como la campaña SecureChat documentada por las empresas de ciberseguridad Cyble y CoreSec360 [ 1 ,  2 ].

Comparación de consultas SQL en código malicioso utilizado por Bahamut en sus campañas SecureVPN y SecureChat
Comparación de consultas SQL en código malicioso utilizado por Bahamut en sus campañas SecureVPN y SecureChat

Vale la pena señalar que ninguna de las versiones de VPN troyanizadas estaba disponible a través de Google Play, el repositorio oficial de recursos de Android, otra indicación de la naturaleza dirigida de la operación.

Se desconoce el método para el vector de distribución inicial, pero podría ser cualquier cosa, desde phishing por correo electrónico, redes sociales u otros canales de comunicación.

Los detalles sobre las operaciones de Bahamut  surgieron en el espacio público en 2017  cuando los periodistas del grupo de investigación Bellingcat publicaron un artículo sobre el actor de espionaje dirigido a activistas de derechos humanos de Oriente Medio.

Conectar a Bahamut con otros actores de amenazas es una tarea difícil si se tiene en cuenta que el grupo depende en gran medida de las herramientas disponibles públicamente, cambia constantemente de táctica y sus objetivos no se encuentran en una región en particular.

Sin embargo, los investigadores de BlackBerry señalan en un extenso informe sobre Bahamut en 2020 que el grupo “parece estar no solo bien financiado y con buenos recursos, sino también bien versado en investigación de seguridad y los sesgos cognitivos que los analistas suelen poseer”.

Algunos grupos de actores de amenazas con los que Bahamut se ha asociado incluyen Windshift  y  Urpage .

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.