Nonostante i migliori sforzi di Google, il malware su Android è stato un problema cronico, quasi onnipresente. Secondo dati recenti della società di sicurezza informatica ESET, la famigerata banda di cyber-mercenari Bahamut APT ha scoperto un nuovo vettore per malware pericoloso che prende di mira i telefoni Android: il software VPN.
Bahamut APT, come indica il termine cyber–mercenario, è una banda che i malintenzionati potrebbero impiegare per intraprendere attacchi di spear phishing. La banda è attiva da tempo, spesso prendendo di mira persone in Medio Oriente e Asia meridionale. I ricercatori ESET hanno rilevato almeno otto varianti del malware Bahamut nelle versioni trojanizzate delle popolari applicazioni Android SoftVPN e OpenVPN. Per infiltrarsi in questi programmi dannosi, il team avrebbe riproposto il codice spyware esistente.
Dal 2017, l’APT di Bahamut è entrato e uscito dalla stampa per una serie di attacchi di spionaggio informatico. Questo che utilizza programmi VPN è un attacco spyware piuttosto standard volto a compromettere lo smartphone
della vittima e ottenere l’accesso a SMS, registri delle chiamate, posizione e registrazioni delle chiamate. Utilizzando la registrazione delle chiavi, il malware può curiosare nelle applicazioni di chat come WhatsApp e raccogliere dati aggiuntivi come informazioni finanziarie.Tutte le applicazioni infette sono state distribuite tramite una versione contraffatta del sito Web SecureVPN e non sono mai state disponibili per il download sul Play Store. Questi programmi VPN sembravano mirare a determinate persone, che venivano indirizzate a un sito Web con una chiave di attivazione univoca. Un’altra bandiera rossa per le potenziali vittime è che la versione legittima della VPN non necessita di una chiave di attivazione o di una visita al sito web. Questa chiave impedisce l’esecuzione del payload dannoso su dispositivi che non appartengono alla vittima specificata.
Questa scoperta del team ESET è solo un altro severo avvertimento a non scaricare programmi da fonti inaffidabili su Internet. Secondo i ricercatori, la campagna è iniziata nel gennaio di quest’anno ed è ancora in corso.