El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña en curso dirigida a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.
Esta campaña ha estado activa desde enero de 2022 distribuyendo aplicaciones maliciosas a través de un sitio web falso de SecureVPN que ofrece descargas apps de Android. Aunque el malware empleado a lo largo de esta campaña utiliza el nombre SecureVPN, no tiene asociación alguna con el servicio y el software multiplataforma legítimo SecureVPN.
Hallazgos clave de ESET:
El equipo de investigación de ESET descubrió al menos ocho versiones del spyware Bahamut. El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN. Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.
El malware tiene la capacidad de exfiltrar datos confidenciales del equipo de la víctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas. También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger. La exfiltración de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad.
El grupo de APT Bahamut generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia a utilizando como vector de ataque mensajes de phishing y aplicaciones falsas. Bahamut se especializa en ciberespionaje, y el equipo de ESET cree que su objetivo es robar información sensible de sus víctimas. Bahamut también se conoce como un grupo de mercenarios que ofrece servicios de piratería a sueldo a una amplia gama de clientes.
La aplicación maliciosa para Android que fue utilizada en esta campaña se distribuyó a través del sitio web thesecurevpn[.]com, que utiliza el nombre, pero no el contenido ni el estilo del servicio SecureVPN legítimo (en el dominio securevpn.com).
Pie de imagen 1. El falso sitio web de SecureVPN ofrece para su descarga una aplicación troyanizada.
Este falso sitio web que se hace pasar por SecureVPN se creó en base a una plantilla web gratuita, que probablemente fue utilizada por el actor de amenazas como inspiración, ya que solo requirió pequeños cambios y parece confiable.
Pie de imagen 2: Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN.
Thesecurevpn[.]com se registró el 27 de enero de 2022; sin embargo, se desconoce el momento de la distribución inicial de la falsa versión de la aplicación de SecureVPN. La aplicación maliciosa se proporciona directamente desde el sitio web y no ha estado disponible en la tienda Google Play.
“La campaña dirigida a dispositivos móviles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo método para distribuir sus aplicaciones de spyware para Android: a través de sitios web que se hacen pasar por servicios legítimos, como se ha visto en el pasado. Además, el código del spyware y, por lo tanto, su funcionalidad, es la misma que en campañas anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una táctica que rara vez se ve en las aplicaciones móviles para ciberespionaje”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:
Al abusar del servicio de accesibilidad, el malware puede robar notas de la aplicación SafeNotes y espiar activamente los mensajes de chat e información sobre llamadas en aplicaciones de mensajería muy populares, como:
· imo-International Calls & Chat,
· Facebook Messenger,
· Viber,
· Signal Private Messenger,
· WhatsApp,
· Telegram,
· WeChat, y
· Conion.
Pie de imagen 3: Solicitud falsa de SecureVPN para habilitar manualmente los servicios de accesibilidad.
Todos los datos extraídos se almacenan en una base de datos local y luego se envían al servidor de C&C del atacante. La funcionalidad del spyware Bahamut incluye la capacidad de actualizar la aplicación mediante un enlace con una nueva versión del servidor C&C.
“Parece que esta campaña ha mantenido un perfil bajo, ya que no vemos instancias en nuestros datos de telemetría. Esto probablemente se logra a través de una distribución altamente dirigida, donde junto con un enlace al spyware Bahamut, la potencial víctima recibe una clave de activación, que es necesaria para habilitar la capacidad de espionaje del malware.”, concluye el investigador de ESET.
La Organización de las Naciones Unidas proclama el 18 de septiembre como Día Internacional de la Igualdad Salarial, con la finalidad de resaltar la importancia de equipar la igualdad salarial por un trabajo de igual valor. La igualdad salarial o igualdad de remuneración se refiere al derecho de hombres y mujeres a recibir una remuneración equitativa por trabajos de igual valor. Este concepto considera factores como competencias, condiciones laborales, calificaciones y niveles de responsabilidad en el desempeño del puesto. Además, la igualdad salarial refuerza los derechos humanos y la igualdad de género, y cuenta con el respaldo de actores clave como la comunidad internacional, la sociedad civil, agencias de ONU Mujeres, los Estados Miembros y la Organización Internacional del Trabajo (OIT). Como antecedente histórico, tras la Segunda Guerra Mundial, en 1951 se estableció el Convenio sobre Igualdad de Remuneración, reconocido como el primer instrumento internacional que impulsó la incorporación masiva de las mujeres al mundo laboral, ocupando posiciones en la primera línea de producción en varios países. La creación de este convenio surgió como respuesta a la desigualdad salarial, vista como una clara forma de discriminación laboral. Este hito marcó el comienzo de un avance significativo hacia una mayor igualdad de género en el mercado laboral, estableciendo las bases para eliminar brechas económicas y promover un entorno laboral más justo e inclusivo. https://www.tiktok.com/@mscnoticias
La leyenda de Rómulo y Remo narra la historia de los fundadores míticos de Roma. Según el relato, Ascanio, hijo del héroe troyano Eneas, estableció la ciudad de Alba Longa a orillas del río Tíber. A lo largo de los años, sus descendientes reinaron sobre esta ciudad, hasta llegar a Numitor y su hermano Amulio. Amulio destronó a Numitor y, para evitar que tuviera descendencia que reclamara el trono, obligó a su hija, Rea Silvia, a convertirse en sacerdotisa de la diosa Vesta, asegurando así su virginidad. Sin embargo, Marte, el dios de la guerra, se unió a Rea Silvia, quien dio a luz a los gemelos Rómulo y Remo. Temiendo por su vida, Amulio ordenó que los recién nacidos fueran arrojados al Tíber en una canasta. La corriente los llevó hasta la zona de las siete colinas, cerca de la desembocadura del Tíber. Allí, una loba llamada Luperca los descubrió mientras bebía agua. Ella los llevó a su guarida en el Monte Palatino y los amamantó hasta que un pastor los encontró. El pastor y su esposa criaron a los mellizos, quienes al llegar a la adultez restauraron a Numitor en el trono de Alba Longa. Rómulo y Remo decidieron fundar una nueva ciudad como colonia de Alba Longa en el lugar donde la loba los había protegido. Así nació Roma, con Rómulo y Remo como sus primeros reyes. El mito de la loba que amamantó a los gemelos ha sido objeto de diversas interpretaciones. Algunos creen que la loba fue en realidad una mujer que cuidó de ellos, ya que el término latino “lupa” también se usaba para referirse despectivamente a las prostitutas de la época. Este relato, cargado de simbolismo, es fundamental para entender el origen mítico de una de las civilizaciones más influyentes de la historia. https://www.tiktok.com/@mscnoticias