Исследователи из компании ESET, занимающейся кибербезопасностью, обнаружили активную кампанию распространения вредоносного ПО для Android, которая началась в январе 2022 года. Исследователи связали эту кампанию с группой продвинутых постоянных угроз (APT), известной как "Bahamut".

Bahamut был активен по крайней мере с 2017 года, когда он был впервые идентифицирован. Группа APT занимается кибершпионажем в основном на Ближнем Востоке и в Южной Азии, работая над кражей конфиденциальной информации по заказу клиентов. Bahamut разработал собственное шпионское ПО, которое в прошлом поставлялось с поддельными приложениями. Однако в последнее время группа переупаковывает законные приложения, добавляя в код свое шпионское ПО.

Исследователи ESET обнаружили, что Bahamut внедряет свое вредоносное ПО в приложения SoftVPN и OpenVPN, которые являются законными приложениями VPN. Версии этих приложений, доступные в магазине Google Play, являются легитимными и безопасными версиями приложений. Однако у Bahamut есть мошеннический веб-сайт VPN, на котором она распространяет собственные версии этих приложений с включенным в него специальным шпионским ПО. Хотя этот веб-сайт больше не доступен по доменному имени указанному исследователями, он содержал кнопку загрузки, которую посетители могли нажать, чтобы загрузить вредоносный APK-файл.

Исследователи ESET обнаружили, что группа APT использовала бесплатный веб-шаблон VPN на своем мошенническом веб-сайте. Bahamut настроил этот шаблон, позаимствовав логотип SoftVPN и объединив его с названием другого законного VPN-сервиса, SecureVPN. Это же имя носил и вредоносный APK-файл, доступный для скачивания на сайте. Исследователи ESET выявили как минимум восемь версий двух вредоносных VPN-приложений, продвигаемых Bahamut в рамках этой кампании, а это означает, что группа угроз активно обновляла свое шпионское ПО в течение этого года. Исследователи подозревают, что Bahamut переключилась с внедрения своего шпионского ПО в SoftVPN на то же самое в OpenVPN, потому что разработчики SoftVPN прекратили поддержку приложения, и оно в конечном итоге утратило законную функциональность VPN.

Шпионское ПО Bahamut, внедренное в эти VPN-приложения, - плохая новость. Шпионское ПО запрашивает разрешение на использование служб специальных возможностей, которые, если они предоставлены пользователем, позволяют шпионскому ПО полностью контролировать зараженное устройство. Шпионское ПО может использовать этот элемент управления для кражи конфиденциальной информации, включая контакты, SMS-сообщения, журналы вызовов, местоположение устройства, записанные телефонные звонки и сообщения в популярных приложениях, таких как Signal, WhatsApp и Telegram. Пользователи с приложениями SoftVPN, OpenVPN и SecureVPN, установленными на их телефонах, должны убедиться, что эти приложения были установлены через Google Play Store, где находятся законные версии этих приложений, а не из потенциально вредоносных APK-файлов, загруженных из Интернета.