El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña en curso dirigida a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.
Esta campaña ha estado activa desde enero de 2022 distribuyendo aplicaciones maliciosas a través de un sitio web falso de SecureVPN que ofrece descargas apps de Android. Aunque el malware empleado a lo largo de esta campaña utiliza el nombre SecureVPN, no tiene asociación alguna con el servicio y el software multiplataforma legítimo SecureVPN.
Hallazgos clave de ESET:
El equipo de investigación de ESET descubrió al menos ocho versiones del spyware Bahamut. El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN. Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.
El malware tiene la capacidad de exfiltrar datos confidenciales del equipo de la víctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas. También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger. La exfiltración de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad.
El grupo de APT Bahamut generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia a utilizando como vector de ataque mensajes de phishing y aplicaciones falsas. Bahamut se especializa en ciberespionaje, y el equipo de ESET cree que su objetivo es robar información sensible de sus víctimas. Bahamut también se conoce como un grupo de mercenarios que ofrece servicios de piratería a sueldo a una amplia gama de clientes.
La aplicación maliciosa para Android que fue utilizada en esta campaña se distribuyó a través del sitio web thesecurevpn[.]com, que utiliza el nombre, pero no el contenido ni el estilo del servicio SecureVPN legítimo (en el dominio securevpn.com).
Pie de imagen 1. El falso sitio web de SecureVPN ofrece para su descarga una aplicación troyanizada.
Este falso sitio web que se hace pasar por SecureVPN se creó en base a una plantilla web gratuita, que probablemente fue utilizada por el actor de amenazas como inspiración, ya que solo requirió pequeños cambios y parece confiable.
Pie de imagen 2: Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN.
Thesecurevpn[.]com se registró el 27 de enero de 2022; sin embargo, se desconoce el momento de la distribución inicial de la falsa versión de la aplicación de SecureVPN. La aplicación maliciosa se proporciona directamente desde el sitio web y no ha estado disponible en la tienda Google Play.
“La campaña dirigida a dispositivos móviles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo método para distribuir sus aplicaciones de spyware para Android: a través de sitios web que se hacen pasar por servicios legítimos, como se ha visto en el pasado. Además, el código del spyware y, por lo tanto, su funcionalidad, es la misma que en campañas anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una táctica que rara vez se ve en las aplicaciones móviles para ciberespionaje”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:
Al abusar del servicio de accesibilidad, el malware puede robar notas de la aplicación SafeNotes y espiar activamente los mensajes de chat e información sobre llamadas en aplicaciones de mensajería muy populares, como:
· imo-International Calls & Chat,
· Facebook Messenger,
· Viber,
· Signal Private Messenger,
· WhatsApp,
· Telegram,
· WeChat, y
· Conion.
Pie de imagen 3: Solicitud falsa de SecureVPN para habilitar manualmente los servicios de accesibilidad.
Todos los datos extraídos se almacenan en una base de datos local y luego se envían al servidor de C&C del atacante. La funcionalidad del spyware Bahamut incluye la capacidad de actualizar la aplicación mediante un enlace con una nueva versión del servidor C&C.
“Parece que esta campaña ha mantenido un perfil bajo, ya que no vemos instancias en nuestros datos de telemetría. Esto probablemente se logra a través de una distribución altamente dirigida, donde junto con un enlace al spyware Bahamut, la potencial víctima recibe una clave de activación, que es necesaria para habilitar la capacidad de espionaje del malware.”, concluye el investigador de ESET.
El Día de Star Wars: Una Celebración Interplanetaria El fenómeno que es el Día de Star Wars tiene un origen tan peculiar como la misma saga. El 4 de mayo de 1979, tras el estreno de la primera película, el London Evening News incluyó la frase “May the Force be with you” en una nota política. Los fanáticos tomaron esto como inspiración para crear la festividad. El origen de la fecha es muy curioso. El 4 de mayo de 1979, cuando el mundo estaba extasiado tras el estreno de la primera película de La Guerra de las Galaxias, el diario británico London Evening News publicó una nota en la que miembros del Partido Conservador del Reino Unido felicitaban a Margaret Thatcher por su recién adquirido puesto como primera ministra del país, incluyendo esta frase “May the Force be with you”, traducido como “que la fuerza te acompañe”. Esto fue aprovechado por los fans como impulso para crear el Star Wars Day. Desde entonces, la celebración ha crecido exponencialmente. Un hito crucial fue el festival de cine organizado por el Toronto Underground Cinema en 2011, que consolidó la fecha como un evento cultural. Además, multitud de empresas aprovechan la ocasión para ofrecer ofertas y descuentos especiales en sus productos de Star Wars. El Día de Star Wars se ha convertido en mucho más que una simple fecha en el calendario. Es un momento de unidad para los fanáticos de todas partes del mundo, una oportunidad para celebrar la saga que ha marcado a generaciones enteras. Así, cada 4 de mayo, la galaxia entera se une para conmemorar el legado de George Lucas y la magia de Star Wars.
El Domingo de Ramos es el día que marca el inicio de la Semana Santa en la tradición cristiana, conmemorando la entrada triunfal de Jesús en Jerusalén. Este día está lleno de simbolismo y significado religioso para los cristianos, pero en términos de “misterios”, podrían interpretarse algunos aspectos simbólicos o teológicos: La entrada triunfal de Jesús: Este evento, mencionado en los evangelios, es la base del Domingo de Ramos. Jesús entra en Jerusalén montado en un burro, mientras la multitud lo aclama y lo saluda con ramas de palma y ropas extendidas en su camino. El misterio aquí radica en la comprensión del significado de esta entrada en el contexto de la misión de Jesús y su relación con el reino de Dios. El cambio de actitud de la multitud: Es intrigante cómo la multitud que aclama a Jesús en su entrada triunfal el Domingo de Ramos luego se convierte en la misma multitud que lo rechaza y pide su crucifixión pocos días después. Este cambio repentino de actitud puede ser objeto de reflexión sobre la naturaleza humana y la fragilidad de las lealtades populares. El simbolismo de las palmas y las ramas: En muchas tradiciones cristianas, se llevan palmas y ramas durante las celebraciones del Domingo de Ramos como símbolo de victoria y triunfo. Estos elementos pueden representar la victoria espiritual sobre el pecado y la muerte que Jesús trae consigo, pero también pueden ser interpretados como un recordatorio de la naturaleza efímera de los triunfos terrenales. El comienzo de la Semana Santa: El Domingo de Ramos marca el inicio de la Semana Santa, un período de intensa reflexión y conmemoración para los cristianos. Este tiempo está lleno de rituales y tradiciones que recuerdan los eventos finales de la vida de Jesús, desde la Última Cena hasta su crucifixión y resurrección. Los misterios aquí son los propios misterios de la fe cristiana: la pasión, muerte y resurrección de Jesús, y su significado para la salvación de la humanidad. En resumen, el Domingo de Ramos está envuelto en una serie de misterios religiosos y simbolismos que invitan a la reflexión y la contemplación sobre la fe cristiana y el significado de la vida y la obra de Jesucristo. https://www.tiktok.com/@mscnoticias