Cibermercenarios apuntan a usuarios de Android con aplicaciones VPN falsas

Ciberdelincuencia
Y el
El cibercrimen como servicio
Y el
Gestión de fraude y ciberdelincuencia

Las aplicaciones maliciosas pueden desviar información de Signal, Viber y Telegram

Versiones troyanas de dos aplicaciones legítimas utilizadas por los atacantes

Los investigadores de Eset dijeron que el grupo de piratería distribuye aplicaciones maliciosas a través de un sitio web falso de SecureVPN que permite descargar aplicaciones de Android desde Google Play.

Ver también: Seminario web en vivo | Cómo lograr objetivos de confianza cero con estrategias avanzadas de punto final

Apodado «Bahamut», investigadores de la firma de ciberseguridad Descubrir Al menos ocho versiones de spyware. Las aplicaciones se utilizaron como parte de una campaña maliciosa que utilizó versiones troyanas de dos aplicaciones legítimas: SoftVPN y OpenVPN. En ambos casos, las aplicaciones fueron reempaquetadas con spyware Bahamut.

«El objetivo principal de las modificaciones de la aplicación es extraer datos confidenciales del usuario y espiar activamente las aplicaciones de mensajería de las víctimas», dicen los investigadores.

Los datos confidenciales se extraen a través del registro de teclas, abuso del servicio de accesibilidad de Android. También puede espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger.

El grupo de amenazas también opera como un grupo mercenario, brindando servicios de hackers a sueldo que incluyen servicios de espionaje y desinformación para apuntar a organizaciones sin fines de lucro y diplomáticos en todo el Medio Oriente y el sur de Asia.

Sus principales vectores de ataque incluyen correos electrónicos de phishing y aplicaciones falsas diseñadas para robar información confidencial de sus víctimas.

READ  Microsoft revela Windows y Linux Botnet utilizados en DDoS Minecraft Servers

La aplicación maliciosa se entrega a través del sitio web thesecurevpn[.]com, que es una parodia del sitio SecureVPN real pero carece del contenido o el diseño de un servicio SecureVPN legítimo (en el dominio SecureVPN.com).

Este es CorvBen[.]com se registró el 2022-01-27, pero se desconoce la fecha de distribución inicial de la falsa aplicación SecureVPN.

Desde que el spyware Bahamut comenzó a distribuirse a través de sitios web, se han puesto a disposición para su descarga ocho versiones del spyware.

Lista de diferentes versiones:

  • SecureVPN_104.apk;
  • SecureVPN_105.apk;
  • SecureVPN_106.apk;
  • SecureVPN_107.apk;
  • SecureVPN_108.apk;
  • SecureVPN_109.apk;
  • SecureVPN_1010.apk;
  • SecureVPN_1010b.apk.

En octubre de 2020, los investigadores de BlackBerry seleccionado Bahamut Group ha creado varios sitios web de noticias falsas para impulsar el contenido de desinformación. También descubrieron infraestructura de phishing y aplicaciones maliciosas instaladas en las tiendas oficiales de Google Play y Apple App y utilizadas para atacar a víctimas y organizaciones específicas.

Debido a que los objetivos grupales carecen de un patrón uniforme, los investigadores de Blackberry sugieren que es probable que los piratas informáticos vendan sus servicios al mejor postor.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *