El sistema operativo Android es codiciado por su apertura y su gran diversidad de aplicaciones gratuitas en su tienda de contenidos. No, y aunque en este caso el vector de ataque no es la Play Store, esta misma apertura la convierte en un objetivo tentador para los estafadores, una realidad agravada por la base de usuarios a nivel mundial, los potenciales objetivos a los que se apunta.
El último caso de malware para Android ha sido expuesto por el equipo de investigadores de ESET. El especialista europeo en ciberseguridad ha identificado una campaña activa dirigida a usuarios de Android.
La aplicación maliciosa utilizada era una versión «troyanizada» de una de las dos aplicaciones VPN legítimas, SoftVPN y OpenVPN.
Esta misma campaña está dirigida por el grupo malicioso Bahamut, el objetivo principal de la campaña de spyware es la robo de datos sensibles de los usuarios. Esto, además de las actividades de espionaje en aplicaciones de mensajería populares, suscita más preocupación. Entre las plataformas objetivo se encuentran servicios como WhatsApp, Facebook MensajeroSignal, Viber y Telegrama.
Más concretamente, en distintos momentos, la aplicación utilizada era una versión «troyanizada» de una de las dos aplicaciones VPN legítimas, SoftVPN y OpenVPN. En ambos casos, la aplicación se personalizó con spyware del grupo Bahamut.
La agencia de seguridad advierte de la necesidad de al menos ocho versiones de estas aplicaciones maliciosas personalizadas con cambios en el código. Al parecer, se actualizan a través de un sitio web de distribución.
En otras palabras, tanto los rasgos que revelan una campaña bien organizada y que lleva activo desde principios de 2022.
Sin embargo, ninguna de las aplicaciones maliciosas ha estado disponible para su descarga en la tienda Google Play. Tenga en cuenta que, por regla general, el método de distribución de las aplicaciones con programas espía muestra una campaña organizada.
Las aplicaciones espía del grupo se distribuyen a través de un sitio web falso de SecureVPN que sólo ofrece aplicaciones Android «troyanizadas» para su descarga. Este sitio web no está asociado con el software y servicio legítimo multiplataforma SecureVPN.
Un programa espía pretende robar información de WhatsApp, Facebook Messenger, Signal, Viber y Telegram
El principal objetivo de la campaña es el robo de contactosMensajes SMS, llamadas telefónicas grabadas. Esto se suma a los mensajes de chat de aplicaciones de mensajería como WhatsApp, Facebook Messenger, Signal, Viber y Telegram.
También según la agencia, es probable que se trate de intentos de infiltración muy selectivos. La aplicación maliciosa solicita una clave de activación antes de que las funciones de VPN y spyware se activen.
Es probable que tanto la clave de activación como el enlace al sitio web falsificado se envíen directamente a usuarios objetivo específicos. Esta capa de seguridad tiene como objetivo proteger la carga maliciosa para que no se active justo después de ser enviada a un dispositivo final no deseado o cuando está siendo analizada.
Las investigaciones han detectado un método de protección similar en otra campaña del grupo Bahamut.
El robo de datos es el principal objetivo de este malware para Android
Todos los datos secuestrados se almacenan en una base de datos local y luego se reenvían al servidor de Mando y Control (C&C).
La funcionalidad del spyware de grupo incluye la capacidad de actualizar la aplicación maliciosa al recibir un enlace a una nueva versión desde el servidor de C&C.
El grupo malicioso Bahamut suele utilizar mensajes de spearphishing y aplicaciones falsas como vector de ataque inicial contra entidades y particulares de Oriente Próximo y el sur de Asia.
En el caso de esta campaña, aún no se conoce el vector de distribución inicial. Bahamut se especializa en ciberespionaje y se hace referencia a él como un grupo de mercenarios con servicios de acceso no autorizado en alquiler para diversos clientes.
