یک گروه بدنام مزدور سایبری در حال تزریق یک نرم افزار جاسوسی به دستگاه های اندرویدی برای سرقت مکالمات کاربران هستند. تحقیق ESET (در برگه جدید باز می شود) پیدا کرده است.
این حملات بدافزار از طریق برنامههای جعلی VPN Android راهاندازی میشوند، با شواهدی که نشان میدهد هکرها از نسخههای مخرب نرمافزار SecureVPN، SoftVPN و OpenVPN استفاده میکنند.
این گروه که با نام Bahamut ATP شناخته می شود، تصور می شود که سرویسی برای استخدام است که معمولاً از طریق پیام های فیشینگ نیزه ای و برنامه های کاربردی جعلی حملاتی را انجام می دهد. بر اساس گزارش های قبلی، هکرهای آن از سال 2016 سازمان ها و افراد را در سراسر خاورمیانه و جنوب آسیا هدف قرار داده اند.
تخمین زده می شود که در ژانویه 2022 آغاز شده باشد، محققان ESET معتقدند که کمپین این گروه برای توزیع VPN های مخرب در حال حاضر ادامه دارد.
از ایمیل های فیشینگ گرفته تا VPN های جعلی
لوکاش استفانکو، محقق ESET که برای اولین بار این بدافزار را کشف کرد، گفت: “به نظر می رسد که این کمپین بسیار هدفمند است، زیرا ما هیچ نمونه ای در داده های تله متری خود نمی بینیم.”
“علاوه بر این، برنامه قبل از اینکه VPN و عملکرد جاسوس افزار فعال شوند، یک کلید فعال سازی درخواست می کند. هم کلید فعال سازی و هم پیوند وب سایت احتمالا برای کاربران هدف ارسال می شوند.”
استفانکو توضیح می دهد که پس از فعال شدن برنامه، هکرهای باهاموت می توانند از راه دور نرم افزارهای جاسوسی را کنترل کنند. این بدان معنی است که آنها قادر به نفوذ و جمع آوری یک تن از داده های حساس کاربران هستند.
او گفت: «حذف دادهها از طریق عملکرد keylogging این بدافزار انجام میشود که از خدمات دسترسی سوء استفاده میکند.
از پیامهای SMS، گزارش تماسها، مکانهای دستگاه و هر جزئیات دیگری گرفته تا حتی برنامههای پیامرسانی رمزگذاریشده مانند واتساپ، تلگرام یا سیگنال، این مجرمان سایبری میتوانند تقریباً از هر چیزی که در دستگاههای قربانیان پیدا میکنند بدون اینکه آنها بدانند جاسوسی کنند.
ESET حداقل هشت نسخه از این سرویسهای تروجانای VPN را شناسایی کرده است، به این معنی که کمپین به خوبی حفظ شده است.
شایان ذکر است که در هیچ موردی نرم افزارهای مخرب با این سرویس قانونی مرتبط نبودند و هیچ یک از برنامه های آلوده به بدافزار در Google Play تبلیغ نشدند.
اگرچه بردار توزیع اولیه هنوز ناشناخته است. با نگاهی به نحوه عملکرد Bahamut ATP، یک پیوند مخرب ممکن است از طریق ایمیل، رسانه های اجتماعی یا پیامک ارسال شده باشد.
درباره APT باهاموت چه می دانیم؟
علیرغم اینکه هنوز مشخص نیست چه کسی پشت سر است، به نظر می رسد ATP باهاموت مجموعه ای از هکرهای مزدور است زیرا حملات آنها واقعاً منافع سیاسی خاصی را دنبال نمی کند.
باهاموت از سال 2016 به طور گسترده در حال اجرای کمپین های جاسوسی سایبری، عمدتاً در سراسر خاورمیانه و جنوب آسیا است.
گروه روزنامه نگاری تحقیقی Bellingcat اولین کسی بود که عملیات خود را در سال 2017 افشا کرد و توضیح داد که چگونه قدرت های بین المللی و منطقه ای به طور فعال در چنین عملیات های نظارتی شرکت کردند.
بنابراین، باهاموت به عنوان چشم اندازی از آینده قابل توجه است، جایی که ارتباطات مدرن موانع را برای کشورهای کوچکتر برای نظارت مؤثر بر مخالفان داخلی و گسترش خود به فراتر از مرزهایشان کاهش داده است. گربه بلینگ (در برگه جدید باز می شود) به هنگام.
این گروه پس از آن به نام ماهی غول پیکر شناور در دریای عرب در کتاب موجودات خیالی خورخه لوئیس بورخس به باهاموت تغییر نام داد.
اخیراً، تحقیق دیگری نشان داد که چگونه گروه تهدید مداوم پیشرفته (APT) به طور فزاینده ای دستگاه های تلفن همراه را به عنوان هدف اصلی فعال می کند.
شرکت امنیت سایبری Cyble اولین بار این روند جدید را در آوریل گذشته مشاهده کرد (در برگه جدید باز می شود)، با اشاره به اینکه گروه باهاموت “حمله خود را به هدف برنامه ریزی می کند، مدتی در طبیعت می ماند، اجازه می دهد حمله آنها بر افراد و سازمان ها تأثیر بگذارد و در نهایت اطلاعات آنها را می دزدد.”
همچنین در این مورد، محققان بر توانایی مجرمان سایبری برای توسعه چنین سایت فیشینگ با طراحی خوبی برای فریب قربانیان و جلب اعتماد آنها تاکید کردند.
همانطور که لوکاش استفانکو برای حادثه برنامه های جعلی اندروید تایید کرد: “کد جاسوس افزار و در نتیجه عملکرد آن مانند کمپین های قبلی است، از جمله جمع آوری داده ها برای استخراج در پایگاه داده محلی قبل از ارسال آن به سرور اپراتورها، یک تاکتیک است. به ندرت در برنامه های جاسوسی سایبری موبایل دیده می شود.”