Hackers modifican la popular aplicación de OpenVPN para Android para incluir software espía

Los hackers vuelven a empaquetar SoftVPN y OpenVPN en versiones maliciosas para Android

0
62

Un actor de amenazas asociado a operaciones de ciberespionaje desde al menos 2017 ha estado atrayendo a las víctimas con un falso software VPN para Android que es una versión troyanizada del software legítimo SoftVPN y OpenVPN.

Los investigadores afirman que la campaña estaba «muy dirigida» y tenía como objetivo robar datos de contactos y llamadas, la ubicación del dispositivo, así como mensajes de múltiples apps.

Suplantación de servicios VPN
La operación ha sido atribuida a un actor de amenazas avanzadas rastreado como Bahamut, que se cree que es un grupo mercenario que proporciona servicios de hacking por encargo.

El analista de malware de ESET, Lukas Stefanko, afirma que Bahamut reempaquetó las aplicaciones SoftVPN y OpenVPN para Android para incluir código malicioso con funciones de espionaje.

De este modo, el actor se aseguraba de que la aplicación siguiera proporcionando la funcionalidad de VPN a la víctima mientras exfiltraba información sensible del dispositivo móvil.

Para ocultar su operación y con fines de credibilidad, Bahamut utilizó el nombre de SecureVPN (que es un servicio de VPN legítimo) y creó un sitio web falso [thesecurevpn] para distribuir su aplicación maliciosa.

Sitio web falso de SecureVPN de Bahamut
fuente: ESET

Stefanko dice que la aplicación VPN fraudulenta de los hackers puede robar contactos, registros de llamadas, detalles de localización, SMS, espiar chats en aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Messenger de Facebook, así como recopilar una lista de archivos disponibles en el almacenamiento externo.

El investigador de ESET descubrió ocho versiones de la app VPN de espionaje de Bahamut, todas con números de versión cronológicos, lo que sugiere un desarrollo activo.

Todas las aplicaciones falsas incluían código observado únicamente en operaciones atribuidas a Bahamut en el pasado, como la campaña SecureChat documentada por la empresa de ciberseguridad Cyble y otras.

Consultas SQL utilizadas por Bahamut en sus aplicaciones maliciosas SecureChat y SecureVPN
fuente: ESET

Cabe destacar que ninguna de las versiones de VPN troyanizadas estaba disponible a través de Google Play, el repositorio oficial de recursos para Android, otro indicio del carácter selectivo de la operación.

Se desconoce el método del vector de distribución inicial, pero podría ser cualquier cosa, desde el phishing a través del correo electrónico, las redes sociales u otros canales de comunicación.

Los detalles sobre las operaciones de Bahamut surgieron en el espacio público en 2017 cuando los periodistas del grupo de investigación Bellingcat publicaron un artículo sobre el actor de espionaje dirigido a los activistas de derechos humanos de Oriente Medio.

Conectar a Bahamut con otros actores de amenazas es una tarea difícil si se tiene en cuenta que el grupo depende en gran medida de las herramientas disponibles públicamente, cambia constantemente de táctica y sus objetivos no se encuentran en una región concreta.

Sin embargo, los investigadores de BlackBerry señalan en un extenso informe sobre Bahamut en 2020 que el grupo «parece estar no sólo bien financiado y con buenos recursos, sino también bien versado en la investigación de seguridad y en los sesgos cognitivos que suelen tener los analistas.»

Algunos grupos de actores de amenazas con los que Bahamut ha estado asociado son Windshift y Urpage.

Fuente: ESET | Editado por CambioDigital Online

Custom Text
Artículo anterior¿Qué es un ataque de denegación de servicio (DoS)?
Artículo siguiente¿Es la programación tan difícil como parece?