ESET Research: met nep-VPN-apps richt Bahamut-groep zich op Android-gebruikers; spyware steelt de gesprekken van gebruikers 

“De data-exfiltratie gebeurt via de keylogging-functionaliteit van de malware, die toegangsmogelijkheden misbruikt. De campagne lijkt zeer doelgericht daar we geen gevallen in onze telemetriegegevens zien,” zegt Lukáš Štefanko, de onderzoeker die de gevaarlijke Android-malware ontdekte en analyseerde. “Bovendien vraagt de app om en activeringssleutel vooraleer de VPN- en spywarefunctionaliteit kan worden ingeschakeld. Zowel de activeringssleutel als de weblink worden wellicht naar specifieke gebruikers gestuurd”, aldus Štefanko.  Deze laag is er om te voorkomen dat de schadelijke lading geactiveerd wordt net na de lancering op een niet-gericht gebruikersapparaat of wanneer deze geanalyseerd wordt. ESET Research zag ook dat dergelijke bescherming gebruikt wordt in een andere campagne van de Bahamut-groep. 

Alle geëxfiltreerde gegevens worden opgeslagen in een lokale database en dan verzonden naar de Command and Control (C&C)-server. De Bahamut-spywarefunctionaliteit omvat de mogelijkheid om de app bij te werken door een link te ontvangen naar een nieuwe versie van de C&C-server.  

Als de spyware ingeschakeld is, kan deze op afstand door Bahamut-operatoren beheerd worden en verschillende gevoelige gegevens van het apparaat exfiltreren, zoals contacten, sms-berichten, oproeplogboeken, lijst met geïnstalleerde apps, locatie en accounts, apparaatnaam en -informatie (internetverbinding type, IMEI, IP,  SIM-serienummer), opgenomen telefoongesprekken en een lijst met bestanden op externe opslag. Door misbruik te maken van toegangsservices, kan de malware notities stelen van de SafeNotes-app en chatberichten en oproepinformatie bespioneren van populaire berichten-apps, zoals imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat en Conion. 

Bahamut APT gebruikt doorgaans spearphishing-berichten en nep-apps als eerste aanvalsvector tegen entiteiten en individuen in het Midden-Oosten en Zuid-Azië. Bahamut is gespecialiseerd in cyberspionage en ESET Research is van mening dat het stelen van gevoelige informatie van zijn slachtoffers zijn doel is. Bahamut wordt ook een huurlingengroep genoemd die hack-for-hire-diensten aanbiedt aan een breed scala klanten. De naam Bahamut werd door de groep onderzoeksjournalisten Bellingcat gegeven aan deze bedreigingsactor en meester in phishing. De naam komt van de enorme vis uit de Arabische Zee beschreven in het ‘Book of Imaginary Beings’, door Jorge Luis Borges. Bahamut wordt in de Arabische mythologie vaak beschreven als een onvoorstelbaar grote vis. 

Voor meer technische informatie over de nieuwste campagne van Bahamut APT Group, lees de blog  “Bahamut cybermercenary group targets Android users with fake VPN apps” op WeLiveSecurity. Volg ESET Research on Twitter voor het laatste nieuws over ESET Research. 

Over ESET 

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen. 

De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.  

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedIn, Facebook, en Twitter. 

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/ 

“De data-exfiltratie gebeurt via de keylogging-functionaliteit van de malware, die toegangsmogelijkheden misbruikt. De campagne lijkt zeer doelgericht daar we geen gevallen in onze telemetriegegevens zien,” zegt Lukáš Štefanko, de onderzoeker die de gevaarlijke Android-malware ontdekte en analyseerde. “Bovendien vraagt de app om en activeringssleutel vooraleer de VPN- en spywarefunctionaliteit kan worden ingeschakeld. Zowel de activeringssleutel als de weblink worden wellicht naar specifieke gebruikers gestuurd”, aldus Štefanko.  Deze laag is er om te voorkomen dat de schadelijke lading geactiveerd wordt net na de lancering op een niet-gericht gebruikersapparaat of wanneer deze geanalyseerd wordt. ESET Research zag ook dat dergelijke bescherming gebruikt wordt in een andere campagne van de Bahamut-groep. 

Alle geëxfiltreerde gegevens worden opgeslagen in een lokale database en dan verzonden naar de Command and Control (C&C)-server. De Bahamut-spywarefunctionaliteit omvat de mogelijkheid om de app bij te werken door een link te ontvangen naar een nieuwe versie van de C&C-server.  

Als de spyware ingeschakeld is, kan deze op afstand door Bahamut-operatoren beheerd worden en verschillende gevoelige gegevens van het apparaat exfiltreren, zoals contacten, sms-berichten, oproeplogboeken, lijst met geïnstalleerde apps, locatie en accounts, apparaatnaam en -informatie (internetverbinding type, IMEI, IP,  SIM-serienummer), opgenomen telefoongesprekken en een lijst met bestanden op externe opslag. Door misbruik te maken van toegangsservices, kan de malware notities stelen van de SafeNotes-app en chatberichten en oproepinformatie bespioneren van populaire berichten-apps, zoals imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat en Conion. 

Bahamut APT gebruikt doorgaans spearphishing-berichten en nep-apps als eerste aanvalsvector tegen entiteiten en individuen in het Midden-Oosten en Zuid-Azië. Bahamut is gespecialiseerd in cyberspionage en ESET Research is van mening dat het stelen van gevoelige informatie van zijn slachtoffers zijn doel is. Bahamut wordt ook een huurlingengroep genoemd die hack-for-hire-diensten aanbiedt aan een breed scala klanten. De naam Bahamut werd door de groep onderzoeksjournalisten Bellingcat gegeven aan deze bedreigingsactor en meester in phishing. De naam komt van de enorme vis uit de Arabische Zee beschreven in het ‘Book of Imaginary Beings’, door Jorge Luis Borges. Bahamut wordt in de Arabische mythologie vaak beschreven als een onvoorstelbaar grote vis. 

Voor meer technische informatie over de nieuwste campagne van Bahamut APT Group, lees de blog  “Bahamut cybermercenary group targets Android users with fake VPN apps” op WeLiveSecurity. Volg ESET Research on Twitter voor het laatste nieuws over ESET Research. 

Over ESET 

Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen. 

De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.  

Voor meer informatie bezoek www.eset.com  of volg het nieuws op LinkedIn, Facebook, en Twitter. 

Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/