Un infame grupo de cibermercenarios está inyectando en los dispositivos Android un programa espía para robar las conversaciones de los usuarios, según una nueva investigación de ESET (se abre en una nueva pestaña) ha encontrado.
Estos ataques de malware se lanzan a través de falsas aplicaciones VPN para Android, con pruebas que sugieren que los hackers emplearon versiones maliciosas del software SecureVPN, SoftVPN y OpenVPN.
Conocido como Bahamut ATP, se cree que el grupo es un servicio de alquiler que suele lanzar ataques a través de mensajes de spear phishing y aplicaciones falsas. Según informes anteriores, sus hackers han estado atacando tanto a organizaciones como a individuos en todo Oriente Medio y el sur de Asia desde 2016.
Se estima que comenzó en enero de 2022, los investigadores de ESET creen que la campaña de distribución de VPNs maliciosas del grupo sigue actualmente en curso.
De los correos electrónicos de phishing a las VPN falsas
«La campaña parece estar muy dirigida, ya que no vemos ningún caso en nuestros datos de telemetría», dijo Lukáš Štefanko, el investigador de ESET que descubrió por primera vez el malware.
«Además, la aplicación solicita una clave de activación antes de poder habilitar las funciones de VPN y spyware. Es probable que tanto la clave de activación como el enlace al sitio web se envíen a los usuarios objetivo.»
Štefanko explica que, una vez activada la aplicación, los hackers de Bahamut pueden controlar el software espía de forma remota. Esto significa que son capaces de infiltrarse y cosechar una tonelada de datos sensibles de los usuarios.
«La exfiltración de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso indebido de los servicios de accesibilidad», afirma.
Desde mensajes SMS, registros de llamadas, ubicaciones de los dispositivos y cualquier otro detalle, hasta incluso apps de mensajería encriptada como WhatsApp, Telegram o Signal, estos ciberdelincuentes pueden espiar prácticamente cualquier cosa que encuentren en los dispositivos de las víctimas sin que lo sepan.
ESET identificó al menos ocho versiones de estos servicios VPN troyanizados, lo que significa que la campaña está bien mantenida.
Cabe destacar que en ningún caso el software malicioso estaba asociado al servicio legítimo, y ninguna de las apps infectadas con malware se promocionaba en Google Play.
Sin embargo, aún se desconoce el vector de distribución inicial. Si se observa cómo suele funcionar Bahamut ATP, un enlace malicioso podría haber sido enviado por correo electrónico, redes sociales o SMS.
¿Qué sabemos de Bahamut APT?
A pesar de que todavía no está claro quién está detrás, el Bahamut ATP parece ser un colectivo de hackers mercenarios, ya que sus ataques no siguen realmente un interés político específico.
Bahamut lleva realizando prolíficamente campañas de ciberespionaje desde 2016, principalmente por Oriente Medio y el sur de Asia.
El grupo de periodismo de investigación Bellingcat fue el que sacó a la luz por primera vez sus operaciones en 2017, describiendo cómo tanto las potencias internacionales como las regionales participaban activamente en estas operaciones de vigilancia.
«Bahamut es, por tanto, notable como una visión del futuro en la que las comunicaciones modernas han reducido las barreras para que los países más pequeños puedan llevar a cabo una vigilancia efectiva de los disidentes nacionales y extenderse más allá de sus fronteras», concluyó Bellingcat (se abre en una nueva pestaña) en su momento.
El grupo pasó a llamarse Bahamut, en honor al pez gigante que flota en el Mar de Arabia descrito en el Libro de los seres imaginarios de Jorge Luis Borges.
Más recientemente, otra investigación puso de manifiesto cómo el grupo Advanced Persistent Threat (APT) está recurriendo cada vez más a los dispositivos móviles como objetivo principal.
La empresa de ciberseguridad Cyble detectó por primera vez esta nueva tendencia el pasado mes de abril (se abre en una nueva pestaña), señalando que el grupo Bahamut «planea su ataque contra el objetivo, se mantiene en la naturaleza durante un tiempo, permite que su ataque afecte a muchas personas y organizaciones, y finalmente roba sus datos.»
También en este caso, los investigadores destacaron la capacidad de los ciberdelincuentes para desarrollar un sitio de phishing tan bien diseñado para engañar a las víctimas y ganarse su confianza.
Como confirmó Lukáš Štefanko en el incidente de las aplicaciones falsas para Android «El código del spyware, y por tanto su funcionalidad, es el mismo que en campañas anteriores, incluyendo la recopilación de datos para ser exfiltrados en una base de datos local antes de enviarlos al servidor de los operadores, una táctica raramente vista en las apps de ciberespionaje móvil.»