巴哈姆特网络间谍黑客利用假VPN应用程序攻击Android用户

被称为巴哈马被认为是一场针对性很强的活动的幕后黑手，该活动通过恶意应用程序感染Android设备的用户，这些应用程序旨在提取敏感信息。

斯洛伐克网络安全公司ESET在与《黑客新闻》分享的一份新报告中表示，该活动自2022年1月以来一直处于活跃状态，需要通过一个为此目的而设立的虚假SecureVPN网站分发恶意VPN应用程序。

迄今为止，已经发现了至少八种不同的间谍软件应用，它们是SoftVPN和OpenVPN等合法VPN应用的木马版本。这些应用程序在Google Play Store上都不可用。

被篡改的应用程序及其更新通过欺诈网站推送给用户。还怀疑目标是精心选择的，因为启动应用程序需要受害者输入激活密钥才能启用这些功能。

这意味着使用了一个未确定的分布向量，尽管过去的证据表明，它可能以矛式钓鱼电子邮件、短信或社交媒体应用上的直接消息的形式出现。

激活密钥机制还被设计为与参与者控制的服务器通信，有效地防止恶意软件在非目标用户设备上启动后立即被意外触发。

巴哈姆特于2017年被Bellingcat揭露为黑客雇佣行动，目标是南亚和中东的政府官员、人权组织和其他知名实体，他们使用恶意的Android和iOS应用程序监视受害者。

“也许Bahamut谍报技术最独特的方面是……就是该组织使用了原创的、精心制作的网站、应用程序和角色，”加拿大网络安全公司黑莓在2020年10月指出。

今年早些时候，Cyble详细介绍了该组织策划的两组网络钓鱼攻击，目的是将假冒的Android应用伪装成聊天应用。

最新一波浪潮遵循着类似的轨迹，诱使用户安装看似无害的VPN应用程序，这些应用程序可以过滤大量信息，包括文件、联系人列表、短信、电话录音、位置，以及来自WhatsApp、Facebook Messenger、Signal、Viber、Telegram和微信的消息。

ESET研究人员Lukášštefanko表示：“数据过滤是通过恶意软件的键盘记录功能完成的，它滥用了可访问性服务”。

作为这场活动得到良好维护的一个迹象，威胁行为人最初将恶意代码打包在SoftVPN应用程序中，然后转向OpenVPN，这一转变的原因是实际的SoftVPN应用停止运行，无法再建立VPN连接。

什特凡科补充道：“巴哈姆特APT集团运营的移动营销活动仍然活跃；它使用的方法与过去一样，通过冒充或伪装成合法服务的网站分发其Android间谍软件应用程序”。