最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客修改流行的OpenVPN Android应用程序以包含间谍软件

网络安全 快米云 来源:快米云 254浏览

黑客将 SoftVPN 和 OpenVPN 重新打包成恶意 Android 版本

至少自 2017 年以来,与网络间谍活动相关的威胁行为者一直在使用适用于 Android 的虚假 VPN 软件引诱受害者,该软件是合法软件 SoftVPN 和 OpenVPN 的木马化版本。

研究人员表示,该活动具有“高度针对性”,旨在窃取联系人和通话数据、设备位置以及来自多个应用程序的消息。

VPN 服务模拟

该行动归因于被追踪为 Bahamut 的高级威胁行为者,据信该组织是一个提供黑客雇佣服务的雇佣军组织。

ESET 恶意软件分析师 Lukas Stefanko 表示,Bahamut 重新打包了适用于 Android 的 SoftVPN 和 OpenVPN 应用程序,以包含具有间谍功能的恶意代码。

通过这样做,攻击者确保该应用程序仍会向受害者提供 VPN 功能,同时从移动设备中泄露敏感信息。

为了隐藏他们的操作并出于信誉目的,Bahamut 使用名称 SecureVPN(这是一个合法的 VPN 服务)并创建了一个假网站 [thesecurevpn] 来分发他们的恶意应用程序。

Bahamut 的虚假 SecureVPN 网站
Bahamut 的假冒 SecureVPN 网站
来源:ESET

Stefanko 说,黑客的欺诈性 VPN 应用程序可以窃取联系人、通话记录、位置详细信息、短信,监视 Signal、Viber、WhatsApp、Telegram 和 Facebook 的 Messenger 等消息应用程序中的聊天记录,并收集可用文件列表外置储存。

ESET 的研究人员发现了 Bahamut 的间谍 VPN 应用程序的八个版本,所有版本都按时间顺序排列,表明正在积极开发。

所有虚假应用程序都包含仅在过去归因于 Bahamut 的操作中观察到的代码,例如网络安全公司 Cyble 和 CoreSec360 [1、2] 记录的 SecureChat活动

Bahamut 在其 SecureVPN 和 SecureChat 活动中使用的恶意代码中的 SQL 查询比较
SQL 查询 Bahamut 在其恶意 SecureChat 和 SecureVPN 应用程序中使用
来源:ESET

值得注意的是,没有一个木马化的 VPN 版本可以通过 Android 资源的官方存储库 Google Play 获得,这是该操作的目标性质的另一个迹象。

初始分发向量的方法未知,但可能是通过电子邮件、社交媒体或其他通信渠道进行的网络钓鱼。

 2017 年,当调查组 Bellingcat 的记者发表了一篇关于针对中东人权活动家的间谍行为者的文章时,有关巴哈姆特行动的详细信息 出现在公共场所。

将 Bahamut 与其他威胁行为者联系起来是一项艰巨的任务,因为该组织非常依赖公开可用的工具,不断改变策略,而且其目标不在特定地区。

然而,黑莓研究人员 在 2020 年关于 Bahamut 的一份详尽报告 中指出,该组织“似乎不仅资金充足、资源充足,而且精通安全研究和分析师通常拥有的认知偏见。”Bahamut 与之相关的一些威胁组织包括Windshift 和 Urpage。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客修改流行的OpenVPN Android应用程序以包含间谍软件