Applicazioni VPN per Android modificate con uno spyware: una campagna hacker in corso dal 2017

Another ICT Guy

Applicazioni VPN per Android modificate con uno spyware: una campagna hacker in corso dal 2017

   News    25 Novembre 2022  |  0

I ricercatori di sicurezza di ESET hanno individuato una campagna di spionaggio informatico in corso almeno dal 2017 che ha sfruttato versioni modificate di varie app VPN per Android includendo uno spyware per sottrarre dati di contatto, posizione del dispositivo, comunicazioni e chiamate. La campagna, che i ricercatori hanno definito come “altamente mirata”, è stata attribuita al gruppo mercenario Bahamut, che mette a disposizione servizi di hacking su commissione. 

I ricercatori di ESET hanno scoperto otto versioni dell’app VPN di spionaggio usata da Bahamut, che sarebbero ancora in fase di sviluppo attivo. L’attribuzione a Bahamut è stata possibile poiché tutte le app fasulle comprendevano porzioni di codice che in precedenza sono state riscontrate solamente in operazioni già attribuite allo stesso gruppo hacker.

Bahamut ha sfruttato il nome SecureVPN (che è un servizio VPN legittimo) e creato un sito web fraudolento per distribuire la loro app dannosa, allo scopo di indurre i malcapitati a credere di avere a che fare con un’applicazione lecita. Nessuna delle versioni delle app VPN modificate da Bahamut è stata disponibile su Google Play, ulteriore indizio di un’operazione mirata a bersagli specifici.

Resta ignoto il vettore di distribuzione iniziale, ma considerando i presupposti è verosimile supporre che la tecnica usata possa essere adattata a seconda del bersaglio, sfruttando phishing tramite email, link su social media o altri strumenti nell’arsenale dell’ingegneria sociale.

“L’esfiltrazione dei dati avviene tramite la funzionalità di keylogging del malware, che abusa dei servizi di accessibilità. La campagna sembra essere altamente mirata, poiché non vediamo casi nei nostri dati di telemetria. Inoltre, l’app richiede una chiave di attivazione prima che la funzionalità VPN e spyware possa essere abilitata. Sia la chiave di attivazione che il collegamento al sito Web vengono probabilmente inviati a utenti mirati” spiega il ricercatore ESET Lukáš Štefanko, che ha scoperto e analizzato il pericoloso malware Android.

I bersagli principali delle attività di Bahamut sono circoscritti all’area geografica del Medio Oriente e dell’Asia meridionale.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

©  2024 Carlo Mauri. Realizzato con WordPress e con il tema Mesmerize