oh sistema operativo Android es codiciado por su apertura y su amplia gama de aplicaciones gratuitas en su tienda de contenidos. No, y aunque en este caso el vector de ataque no es Play Store, esta misma apertura la convierte en un objetivo tentador para los malhechores, una realidad exacerbada por la base de usuarios mundial, los objetivos potenciales.
El último caso de malware para Android ha sido expuesto por el equipo de investigadores de ESET. La entidad europea, especializada en ciberseguridad, identificó una campaña activa dirigida a los usuarios de Android.
La aplicación maliciosa utilizada era una versión «troyanizada» de una de las dos aplicaciones VPN legítimas, SoftVPN y OpenVPN.
Esta misma campaña es realizada por el grupo malicioso Bahamut, el principal objetivo de la campaña de software espía es robo de datos sensibles de usuarios. Esto, además de las actividades de espionaje de aplicaciones de mensajería populares, lo que genera mayores preocupaciones. Entre las plataformas a las que se dirige se encuentran servicios como Whatsapp, Facebook MessengerSeñal, Viber y Telegrama.
Más específicamente, en diferentes períodos, la aplicación utilizada fue una versión «troyanizada» de una de las dos aplicaciones VPN legítimas, SoftVPN y OpenVPN. En ambos casos, la aplicación se personalizó con código. software espía del grupo Bahamut.
La agencia de seguridad advierte sobre la exigencia de al menos ocho versiones de estas aplicaciones maliciosas personalizadas con cambios de código. Según la información, se actualiza a través de un sitio web de distribución.
En otras palabras, ambas características que revelan una campaña bien organizada y que está activo desde principios de 2022.
Sin embargo, ninguna de las aplicaciones maliciosas estuvo disponible para descargar desde la tienda Google Play. NoteEstá claro que, por regla general, el método de distribución de aplicaciones con software espía revela una campaña organizada.
Las aplicaciones de software espía del grupo se distribuyen a través de un sitio web falso de SecureVPN que sólo ofrece aplicaciones de Android «troyanizadas» para descargar. Este sitio web no tiene ninguna asociación con el software y servicio SecureVPN legítimo y multiplataforma.
El software espía tiene como objetivo robar información de WhatsApp, Facebook MessengerSeñal, Viber y Telegram
El principal El objetivo de la campaña es robar contactos, mensajes SMS, llamadas telefónicas grabadas. Esto se suma a los mensajes de chat de aplicaciones de mensajería como WhatsApp, Facebook MessengerSeñal, Viber y Telegram.
Según la agencia, es probable que se trate de intentos de infiltración muy específicos. La aplicación maliciosa solicita una clave de activación antes de que se active la funcionalidad de VPN y software espía.
Es probable que tanto la clave de acceso como el enlace del sitio web falsificado se envíen directamente a usuarios objetivo específicos. Esta capa de seguridad tiene como objetivo proteger la carga útil maliciosa para que no se active poco después de que se envíe a un dispositivo final no deseado o cuando se esté analizando.
La investigación detectó un método de protección similar en otra campaña del grupo Bahamut.
El robo de datos es el principal objetivo de este malware para Android
Todos los datos desviados se almacenan en una base de datos local y luego se envían al servidor de Comando y Control (C&C).
La funcionalidad de software espía del grupo incluye la capacidad de actualizar la aplicación maliciosa al recibir un enlace a una nueva versión del servidor C&C.
El grupo malicioso Bahamut suele utilizar mensajes de phishing y aplicaciones falsas como vector de ataque inicial contra entidades e individuos en Medio Oriente y el sur de Asia.
En el caso de esta campaña aún no se conoce el vector de distribución inicial. Bahamut se especializa en ciberespionaje y se le conoce como un grupo de mercenarios con acceso no autorizado a servicios de pago para varios clientes.