至少自 2017 年以来,与网络间谍活动相关的威胁行为者一直在使用适用于 Android 的虚假 VPN 软件引诱受害者,该软件是合法软件 SoftVPN 和 OpenVPN 的木马化版本。
研究人员表示,该活动具有“高度针对性”,旨在窃取联系人和通话数据、设备位置以及来自多个应用程序的消息。
VPN 服务模拟
该行动归因于被追踪为 Bahamut 的高级威胁行为者,据信该组织是一个提供黑客雇佣服务的雇佣军组织。
ESET 恶意软件分析师 Lukas Stefanko 表示,Bahamut 重新打包了适用于 Android 的 SoftVPN 和 OpenVPN 应用程序,以包含具有间谍功能的恶意代码。
通过这样做,攻击者确保该应用程序仍会向受害者提供 VPN 功能,同时从移动设备中泄露敏感信息。
为了隐藏他们的操作并出于信誉目的,Bahamut 使用名称 SecureVPN(这是一个合法的 VPN 服务)并创建了一个假网站 [thesecurevpn] 来分发他们的恶意应用程序。

来源:ESET
Stefanko 说,黑客的欺诈性 VPN 应用程序可以窃取联系人、通话记录、位置详细信息、短信,监视 Signal、Viber、WhatsApp、Telegram 和 Facebook 的 Messenger 等消息应用程序中的聊天记录,并收集可用文件列表外置储存。
ESET 的研究人员发现了 Bahamut 的间谍 VPN 应用程序的八个版本,所有版本都按时间顺序排列,表明正在积极开发。
所有虚假应用程序都包含仅在过去归因于 Bahamut 的操作中观察到的代码,例如网络安全公司 Cyble 和 CoreSec360 [1、2] 记录的 SecureChat活动。

来源:ESET
值得注意的是,没有一个木马化的 VPN 版本可以通过 Android 资源的官方存储库 Google Play 获得,这是该操作的目标性质的另一个迹象。
初始分发向量的方法未知,但可能是通过电子邮件、社交媒体或其他通信渠道进行的网络钓鱼。
2017 年,当调查组 Bellingcat 的记者发表了一篇关于针对中东人权活动家的间谍行为者的文章时,有关巴哈姆特行动的详细信息 出现在公共场所。
将 Bahamut 与其他威胁行为者联系起来是一项艰巨的任务,因为该组织非常依赖公开可用的工具,不断改变策略,而且其目标不在特定地区。
然而,黑莓研究人员 在 2020 年关于 Bahamut 的一份详尽报告 中指出,该组织“似乎不仅资金充足、资源充足,而且精通安全研究和分析师通常拥有的认知偏见。”Bahamut 与之相关的一些威胁组织包括Windshift 和 Urpage。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客修改流行的OpenVPN Android应用程序以包含间谍软件