ESET Research: le groupe Bahamut cible les utilisateurs d'Android avec de fausses applis VPN ; les logiciels espions volent les conversations des utilisateurs
Publié le 23/11/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● Les chercheurs d'ESET ont identifié une campagne active menée par le groupe Bahamut APT, ciblant les utilisateurs d'Android.
● Le but principal du logiciel espion est d'extraire des données utilisateur sensibles et d'espionner activement les applis de messagerie des victimes telles que WhatsApp, Facebook Messenger, Signal, Viber et Telegram.
● L'appli utilisée a quelquefois été une version trojanisée d’une des deux applis VPN légitimes, SoftVPN ou OpenVPN, reconditionnées avec le code du logiciel espion Bahamut.
● La campagne semble fort ciblée, car lorsque le logiciel espion Bahamut est lancé, il demande une clé d'activation avant que la fonctionnalité VPN et logiciel espion ne puisse être activée. La clé d'activation et le lien vers le site Web sont vraisemblablement envoyés aux utilisateurs ciblés.
● ESET a identifié au moins huit versions de ces applis corrigées de manière malveillante avec des modifications de code et des mises à jour via le site Web de distribution, ce qui pourrait signifier que la campagne est bien mise à jour.
BRATISLAVA, le 23 novembre 2022 - Les chercheurs d'ESET ont identifié une campagne active ciblant les utilisateurs d'Android, menée par le groupe Bahamut APT. Cette campagne fonctionne depuis le début de l’année. Les applis de maliciels espions sont distribuées par le faux site Web SecureVPN, qui ne fournit que des applis Android à télécharger. Ce site n'est pas lié au logiciel ni aux services légitimes et multiplateformes SecureVPN. Les applis malveillantes de la campagne peuvent exfiltrer des contacts, messages SMS, appels téléphoniques enregistrés et même des messages de ‘chat’ à partir d'applis comme WhatsApp, Facebook Messenger, Signal, Viber et Telegram. ESET a découvert au moins huit versions du logiciel espion Bahamut, ce qui peut signifier que la campagne est bien mise à jour. Les applis malveillantes n'ont jamais été téléchargeables sur Google Play.
«L'exfiltration des données se fait par la fonctionnalité d'enregistrement de frappe du maliciel, qui abuse des services d'accessibilité. La campagne semble très ciblée, car nous ne voyons aucun cas dans nos données de télémétrie », explique Lukáš Štefanko, le chercheur d'ESET qui a découvert et analysé le malware Android. "De plus, l'appli demande une clé d'activation avant que la fonctionnalité VPN et les logiciels espions ne puissent être activés. Cette couche et le lien vers le site Web sont probablement envoyés aux utilisateurs ciblés », ajoute Štefanko. Cette couche vise à empêcher le déclenchement de la charge utile malveillante juste après son lancement sur un appareil non ciblé ou lors de son analyse. ESET a déjà vu une protection similaire dans une autre campagne du groupe Bahamut.
Toutes les données exfiltrées sont stockées dans une base de données locale, puis envoyées au serveur de commande et de contrôle (C&C). La fonctionnalité de ce logiciel espion inclut la possibilité de mettre à jour l'appli en recevant un lien vers une nouvelle version du serveur C&C.
Si le logiciel espion est activé, il peut être contrôlé à distance par les opérateurs de Bahamut et peut exfiltrer diverses données sensibles, telles que contacts, messages SMS, journaux d'appels, liste d’applis installées, emplacement et comptes de l'appareil, informations sur l'appareil (type de connexion Internet, IMEI, IP, numéro de série SIM), appels téléphoniques enregistrés et une liste de fichiers sur le stockage externe. En abusant des services d'accessibilité, le maliciel peut voler des notes de l'appli SafeNotes et espionner les messages de ‘chat’ et informations sur les appels d’applis de messagerie populaires, telles que imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat et Conion.
Bahamut APT utilise généralement des messages de harponnage et de fausses applis comme vecteur d'attaque initial contre des entités et des individus au Moyen-Orient et en Asie du Sud. Bahamut est spécialisé dans le cyber-espionnage et ESET Research estime que son objectif est le vol d’informations sensibles. Bahamut est aussi considéré comme un groupe de mercenaires offrant des services de hack-for-hire à un large éventail de clients. Le nom Bahamut, donné à cet acteur menaçant par le groupe de journalisme d'investigation Bellingcat, vient de l'énorme poisson dans la mer d'Oman, mentionné dans le ‘Livre des êtres imaginaires’ de Jorge Luis Borges. Dans la mythologie arabe Bahamut est un poisson vraiment gigantesque.
Pour plus d'informations techniques sur la dernière campagne du groupe Bahamut APT, consultez le blog “Bahamut cybermercenary group targets Android users with fake VPN apps” sur WeLiveSecurity. Suivez ESET Research on Twitter pour les dernières nouvelles sur ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/ .
● Le but principal du logiciel espion est d'extraire des données utilisateur sensibles et d'espionner activement les applis de messagerie des victimes telles que WhatsApp, Facebook Messenger, Signal, Viber et Telegram.
● L'appli utilisée a quelquefois été une version trojanisée d’une des deux applis VPN légitimes, SoftVPN ou OpenVPN, reconditionnées avec le code du logiciel espion Bahamut.
● La campagne semble fort ciblée, car lorsque le logiciel espion Bahamut est lancé, il demande une clé d'activation avant que la fonctionnalité VPN et logiciel espion ne puisse être activée. La clé d'activation et le lien vers le site Web sont vraisemblablement envoyés aux utilisateurs ciblés.
● ESET a identifié au moins huit versions de ces applis corrigées de manière malveillante avec des modifications de code et des mises à jour via le site Web de distribution, ce qui pourrait signifier que la campagne est bien mise à jour.
BRATISLAVA, le 23 novembre 2022 - Les chercheurs d'ESET ont identifié une campagne active ciblant les utilisateurs d'Android, menée par le groupe Bahamut APT. Cette campagne fonctionne depuis le début de l’année. Les applis de maliciels espions sont distribuées par le faux site Web SecureVPN, qui ne fournit que des applis Android à télécharger. Ce site n'est pas lié au logiciel ni aux services légitimes et multiplateformes SecureVPN. Les applis malveillantes de la campagne peuvent exfiltrer des contacts, messages SMS, appels téléphoniques enregistrés et même des messages de ‘chat’ à partir d'applis comme WhatsApp, Facebook Messenger, Signal, Viber et Telegram. ESET a découvert au moins huit versions du logiciel espion Bahamut, ce qui peut signifier que la campagne est bien mise à jour. Les applis malveillantes n'ont jamais été téléchargeables sur Google Play.
«L'exfiltration des données se fait par la fonctionnalité d'enregistrement de frappe du maliciel, qui abuse des services d'accessibilité. La campagne semble très ciblée, car nous ne voyons aucun cas dans nos données de télémétrie », explique Lukáš Štefanko, le chercheur d'ESET qui a découvert et analysé le malware Android. "De plus, l'appli demande une clé d'activation avant que la fonctionnalité VPN et les logiciels espions ne puissent être activés. Cette couche et le lien vers le site Web sont probablement envoyés aux utilisateurs ciblés », ajoute Štefanko. Cette couche vise à empêcher le déclenchement de la charge utile malveillante juste après son lancement sur un appareil non ciblé ou lors de son analyse. ESET a déjà vu une protection similaire dans une autre campagne du groupe Bahamut.
Toutes les données exfiltrées sont stockées dans une base de données locale, puis envoyées au serveur de commande et de contrôle (C&C). La fonctionnalité de ce logiciel espion inclut la possibilité de mettre à jour l'appli en recevant un lien vers une nouvelle version du serveur C&C.
Si le logiciel espion est activé, il peut être contrôlé à distance par les opérateurs de Bahamut et peut exfiltrer diverses données sensibles, telles que contacts, messages SMS, journaux d'appels, liste d’applis installées, emplacement et comptes de l'appareil, informations sur l'appareil (type de connexion Internet, IMEI, IP, numéro de série SIM), appels téléphoniques enregistrés et une liste de fichiers sur le stockage externe. En abusant des services d'accessibilité, le maliciel peut voler des notes de l'appli SafeNotes et espionner les messages de ‘chat’ et informations sur les appels d’applis de messagerie populaires, telles que imo-International Calls & Chat, Facebook Messenger, Viber, Signal Private Messenger, WhatsApp, Telegram, WeChat et Conion.
Bahamut APT utilise généralement des messages de harponnage et de fausses applis comme vecteur d'attaque initial contre des entités et des individus au Moyen-Orient et en Asie du Sud. Bahamut est spécialisé dans le cyber-espionnage et ESET Research estime que son objectif est le vol d’informations sensibles. Bahamut est aussi considéré comme un groupe de mercenaires offrant des services de hack-for-hire à un large éventail de clients. Le nom Bahamut, donné à cet acteur menaçant par le groupe de journalisme d'investigation Bellingcat, vient de l'énorme poisson dans la mer d'Oman, mentionné dans le ‘Livre des êtres imaginaires’ de Jorge Luis Borges. Dans la mythologie arabe Bahamut est un poisson vraiment gigantesque.
Pour plus d'informations techniques sur la dernière campagne du groupe Bahamut APT, consultez le blog “Bahamut cybermercenary group targets Android users with fake VPN apps” sur WeLiveSecurity. Suivez ESET Research on Twitter pour les dernières nouvelles sur ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/ .