Por Flavio Borquez Tarff<\/p>\n
El equipo de investigaci\u00f3n de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una campa\u00f1a en curso dirigida a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.<\/p>\n Esta campa\u00f1a ha estado activa desde enero de 2022 distribuyendo aplicaciones maliciosas a trav\u00e9s de un sitio web falso de SecureVPN que ofrece descargas apps de Android. Aunque el malware empleado a lo largo de esta campa\u00f1a utiliza el nombre SecureVPN, no tiene asociaci\u00f3n alguna con el servicio y el software multiplataforma leg\u00edtimo SecureVPN.<\/p>\n Hallazgos clave de ESET:<\/strong><\/p>\n Por Flavio Borquez Tarff<\/p>\n El equipo de investigaci\u00f3n de ESET descubri\u00f3 al menos ocho versiones del spyware Bahamut. El malware se distribuye a trav\u00e9s de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones leg\u00edtimas:\u00a0SoftVPN<\/a>\u00a0y\u00a0OpenVPN<\/a>. Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.<\/p>\n El malware tiene la capacidad de exfiltrar datos confidenciales del equipo de la v\u00edctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicaci\u00f3n del dispositivo y llamadas telef\u00f3nicas grabadas. Tambi\u00e9n es capaz de espiar activamente los mensajes de chat intercambiados a trav\u00e9s de aplicaciones de mensajer\u00eda muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger<\/strong>. La exfiltraci\u00f3n de datos se realiza a trav\u00e9s de la funcionalidad de\u00a0keylogging<\/a>\u00a0del malware, que hace un uso malintencionado de los servicios de accesibilidad.<\/p>\n El grupo de APT Bahamut generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia a utilizando como vector de ataque mensajes de phishing y aplicaciones falsas. Bahamut se especializa en ciberespionaje, y el equipo de ESET cree que su objetivo es robar informaci\u00f3n sensible de sus v\u00edctimas. Bahamut tambi\u00e9n se conoce como un grupo de mercenarios que ofrece servicios de pirater\u00eda a sueldo a una amplia gama de clientes.<\/p>\n Por Flavio Borquez Tarff<\/p>\n La aplicaci\u00f3n maliciosa para Android que fue utilizada en esta campa\u00f1a se distribuy\u00f3 a trav\u00e9s del sitio web\u00a0thesecurevpn[.]com, que utiliza el nombre, pero no el contenido ni el estilo del servicio SecureVPN leg\u00edtimo (en el dominio\u00a0securevpn.com<\/a>).<\/p>\n Pie de imagen 1. El falso sitio web de SecureVPN ofrece para su descarga una aplicaci\u00f3n troyanizada.<\/em><\/p>\n Este falso sitio web que se hace pasar por SecureVPN se cre\u00f3 en base a una\u00a0plantilla web gratuita<\/a>, que probablemente fue utilizada por el actor de amenazas como inspiraci\u00f3n, ya que solo requiri\u00f3 peque\u00f1os cambios y parece confiable.<\/p>\n Pie de imagen 2: Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN.<\/em><\/p>\n Thesecurevpn[.]com\u00a0se registr\u00f3 el 27 de enero de 2022; sin embargo, se desconoce el momento de la distribuci\u00f3n inicial de la falsa versi\u00f3n de la aplicaci\u00f3n de SecureVPN. La aplicaci\u00f3n maliciosa se proporciona directamente desde el sitio web y no ha estado disponible en la tienda Google Play.<\/p>\n Por Flavio Borquez Tarff<\/p>\n \u201cLa campa\u00f1a dirigida a dispositivos m\u00f3viles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo m\u00e9todo para distribuir sus aplicaciones de spyware para Android: a trav\u00e9s de sitios web que se hacen pasar por servicios leg\u00edtimos, como se ha visto en el pasado. Adem\u00e1s, el c\u00f3digo del spyware y, por lo tanto, su funcionalidad, es la misma que en campa\u00f1as anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una t\u00e1ctica que rara vez se ve en las aplicaciones m\u00f3viles para ciberespionaje\u201d, <\/em>comenta Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:<\/p>\n Por Flavio Borquez Tarff<\/p>\n Al abusar del servicio de accesibilidad, el malware puede robar notas de la aplicaci\u00f3n\u00a0SafeNotes<\/a>\u00a0y espiar activamente los mensajes de chat e informaci\u00f3n sobre llamadas en aplicaciones de mensajer\u00eda muy populares, como:<\/p>\n Todos los datos extra\u00eddos se almacenan en una base de datos local y luego se env\u00edan al servidor de C&C del atacante. La funcionalidad del spyware Bahamut incluye la capacidad de actualizar la aplicaci\u00f3n mediante un enlace con una nueva versi\u00f3n del servidor C&C.<\/p>\n \u201cParece que esta campa\u00f1a ha mantenido un perfil bajo, ya que no vemos instancias en nuestros datos de telemetr\u00eda. Esto probablemente se logra a trav\u00e9s de una distribuci\u00f3n altamente dirigida, donde junto con un enlace al spyware Bahamut, la potencial v\u00edctima recibe una clave de activaci\u00f3n, que es necesaria para habilitar la capacidad de espionaje del malware.\u201d, <\/em>concluye el investigador de ESET.<\/p>\n Para conocer m\u00e1s sobre seguridad inform\u00e1tica ingrese al portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2022\/11\/24\/grupo-cibercriminal-bahamut-apunta-usuarios-android-falsas-apps-vpn\/<\/a><\/p>\n Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a:<\/p>\n\n
\n
\n