ESET 研究人員發現了一個針對 Android 用戶的惡意行為,該活動由 Bahamut APT 組織發起,並自 2022 年 1 月以來一直活躍,惡意應用程式通過僅提供 Android 用戶下載的虛假 SecureVPN 網站進行分發,儘管使用 SecureVPN 為名,但它與合法的多平台 SecureVPN 軟件服務沒有任何關聯。
Bahamut APT 組織通常以中東和南亞的實體和個人為目標,將網絡釣魚消息和虛假應用程式作為初始攻擊媒介。Bahamut 專門從事網絡間諜活動,ESET 認為其目標是竊取受害者的敏感信息。 此外,Bahamut 也被稱為僱傭軍團體,為廣泛的客戶提供黑客僱傭服務。
我們最初分析的假冒 SecureVPN 應用程式於 2022 年 3 月 17 日,從一個定位到新加坡的 IP 地址上傳到 VirusTotal,連同一個指向觸發我們 YARA 規則之一的假冒網站進行連接。他們使用的惡意 Android 應用程式是通過網站 thesecurevpn[.]com 提供的。
虛假的 SecureVPN 網站提供了一個木馬化的應用程式供用戶下載
一旦啟用了 Bahamut 間諜軟件,它可以由 Bahamut 操作員遙距控制,洩露各種敏感裝數據:
- 聯絡人
- 短信
- 通話記錄
- 已安裝應用程式
- 裝置位置
- 裝置帳戶
- 裝置信息(互聯網連接類型、IMEI、IP、SIM 序列號)
- 電話錄音
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
