Un tristement célèbre groupe de cybermercenaires injecte un logiciel espion sur les appareils Android pour voler les conversations des utilisateurs, selon une nouvelle étude d’ESET (s’ouvre dans un nouvel onglet) a trouvé.
Ces attaques de logiciels malveillants sont lancées via de fausses applications VPN Android, avec des preuves suggérant que les pirates ont utilisé des versions malveillantes des logiciels SecureVPN, SoftVPN et OpenVPN.
Connu sous le nom de Bahamut ATP, le groupe est considéré comme un service à louer qui lance généralement des attaques via des messages de harponnage et de fausses applications. Selon des rapports précédents, ses pirates informatiques ciblent à la fois des organisations et des individus au Moyen-Orient et en Asie du Sud depuis 2016.
On estime qu’elle a commencé en janvier 2022, les chercheurs d’ESET pensent que la campagne du groupe de distribution de VPN malveillants se poursuit actuellement.
Des e-mails de phishing aux faux VPN
« La campagne semble être très ciblée, car nous ne voyons aucun cas dans nos données de télémétrie », a déclaré Lukáš Štefanko, le chercheur d’ESET qui a découvert le malware.
« De plus, l’application demande une clé d’activation avant que la fonctionnalité VPN et les logiciels espions puissent être activés. La clé d’activation et le lien vers le site Web sont probablement envoyés aux utilisateurs ciblés. »
Štefanko explique qu’une fois l’application activée, les pirates Bahamut peuvent contrôler à distance le logiciel espion. Cela signifie qu’ils sont capables d’infiltrer et de récolter une tonne de données sensibles des utilisateurs.
« L’exfiltration de données se fait via la fonctionnalité d’enregistrement de frappe du logiciel malveillant, qui abuse des services d’accessibilité », a-t-il déclaré.
Qu’il s’agisse de messages SMS, de journaux d’appels, d’emplacements d’appareils et de tout autre détail, ou même d’applications de messagerie cryptées comme WhatsApp, Telegram ou Signal, ces cybercriminels peuvent espionner pratiquement tout ce qu’ils trouvent sur les appareils des victimes sans qu’ils le sachent.
ESET a identifié au moins huit versions de ces services VPN infectés par des chevaux de Troie, ce qui signifie que la campagne est bien entretenue.
Il convient de noter qu’en aucun cas un logiciel malveillant n’a été associé au service légitime et qu’aucune des applications infectées par des logiciels malveillants n’a été promue sur Google Play.
Le vecteur de distribution initial est cependant encore inconnu. En examinant le fonctionnement habituel de Bahamut ATP, un lien malveillant aurait pu être envoyé par e-mail, sur les réseaux sociaux ou par SMS.
Que savons-nous de Bahamut APT ?
Bien qu’il ne soit toujours pas clair qui est derrière, le Bahamut ATP semble être un collectif de pirates informatiques mercenaires car leurs attaques ne suivent pas vraiment un intérêt politique spécifique.
Bahamut mène de manière prolifique des campagnes de cyberespionnage depuis 2016, principalement au Moyen-Orient et en Asie du Sud.
Le groupe de journalisme d’investigation Bellingcat a été le premier à exposer ses opérations en 2017, décrivant comment les puissances internationales et régionales se sont activement engagées dans de telles opérations de surveillance.
« Bahamut est donc remarquable en tant que vision de l’avenir où les communications modernes ont abaissé les barrières pour que les petits pays mènent une surveillance efficace des dissidents nationaux et s’étendent au-delà de leurs frontières », a conclu Bellingcat (s’ouvre dans un nouvel onglet) à l’époque.
Le groupe a ensuite été rebaptisé Bahamut, d’après le poisson géant flottant dans la mer d’Oman décrit dans le Livre des êtres imaginaires de Jorge Luis Borges.
Plus récemment, une autre enquête a mis en évidence la façon dont le groupe Advanced Persistent Threat (APT) se tourne de plus en plus vers les appareils mobiles comme cible principale.
La société de cybersécurité Cyble a repéré pour la première fois cette nouvelle tendance en avril dernier (s’ouvre dans un nouvel onglet)notant que le groupe Bahamut « planifie son attaque sur la cible, reste dans la nature pendant un certain temps, permet à son attaque d’affecter de nombreux individus et organisations, et finalement vole leurs données ».
Dans ce cas également, les chercheurs ont souligné la capacité des cybercriminels à développer un site de phishing aussi bien conçu pour tromper les victimes et gagner leur confiance.
Comme l’a confirmé Lukáš Štefanko pour l’incident des fausses applications Android : « Le code du logiciel espion, et donc sa fonctionnalité, est le même que dans les campagnes précédentes, y compris la collecte de données à exfiltrer dans une base de données locale avant de les envoyer au serveur des opérateurs, une tactique rarement vu dans les applications mobiles de cyberespionnage. »
