Bahamut, 2016’dan beri aktif olan ve şu anda sahte VPN uygulamalarıyla Android cihazları hedefleyen ve kullanıcı kimlik bilgilerini çalmak için kötü amaçlı yazılım enjekte eden kötü şöhretli bir siber paralı asker grubudur. Kötü amaçlı yazılım yüklü uygulamalar ilk olarak Slovak siber güvenlik firması ESET’ten Lukáš Štefenko tarafından keşfedildi.
Bahamut’a dikkat
ESET araştırmacıları, kötü şöhretli siber suç grubu Bahamut’tan yeni bir saldırı serisi keşfetti. Grup, sahte Android VPN uygulamaları aracılığıyla kötü amaçlı yazılım saldırıları başlattı. Araştırmalar, bilgisayar korsanlarının SoftVPN, SecureVPN ve OpenVPN yazılımının kötü amaçlı sürümlerini kullandığını ortaya çıkardı.
Yüksek oranda hedeflenen bu kampanyada bilgisayar korsanları, virüs bulaşmış cihazlardan hassas verileri çıkarmayı hedefliyor. Kampanya 22 Ocak’ta başlatıldı. Sahte VPN uygulamaları, sahte bir SecureVPN web sitesi aracılığıyla dağıtılıyor. Bahamut’tan önceki seferlerde ana hedefler Orta Doğu ve Güney Asya’da bulunuyordu.
Casus Yazılım Uygulamalarının 8 Varyantı Tespit Edildi
Araştırmacılar, virüslü uygulamaların 8 farklı varyantını belirlediler. Bunlar, OpenVPN gibi orijinal VPN uygulamalarının truva atı haline getirilmiş sürümlerini içerir. Bahamut, bu sahte VPN uygulamalarını kiralık bir hizmet olarak sunuyor.
ESET’in blog gönderisine göre saldırılar hedef odaklı kimlik avı mesajları ve sahte uygulamalar aracılığıyla başlatılıyor. Araştırmacılar, bu kampanyanın hala aktif olduğuna inanıyor.
Bildirildiğine göre, uygulama kurbanın bir dağıtım vektörü kullanarak özellikleri etkinleştirmek için bir aktivasyon anahtarı girmesini gerektirdiğinden hedefler dikkatli bir şekilde seçiliyor. Aktivasyon anahtarı, saldırganın kontrolündeki sunucuyla bağlantı kurmak için tasarlanmıştır ve kötü amaçlı yazılımın hedeflenmeyen bir cihazda başlatıldıktan sonra yanlışlıkla tetiklenmesini önler.
Saldırı Nasıl Çalışır?
Štefenko’ya göre sahte uygulama, VPN ve casus yazılım özelliği etkinleştirilmeden önce bir etkinleştirme anahtarı istiyor. Anahtar ve URL, hedeflenen kullanıcılara gönderilir. Uygulama etkinleştirildikten sonra, bilgisayar korsanları casus yazılımın uzaktan kontrolünü ele geçirir ve gizli kullanıcı verilerine sızabilir/toplayabilir.
Ayrıca bilgisayar korsanları, arama kayıtları, SMS mesajları, cihaz konumu, WhatsApp verileri ve diğer şifreleme uygulaması verileri, Telegram ve Signal verileri vb. dahil olmak üzere cihazda depolanan hemen hemen her şeyi gözetleyebilir. Kurban, veri toplamanın farkında değildir.
Štefenko, “Veri hırsızlığı, kötü amaçlı yazılımın erişilebilirlik hizmetlerini kötüye kullanan keylogging işlevi aracılığıyla yapılıyor” dedi.
Hizmetle bağlantılı kötü amaçlı yazılımın ve kötü amaçlı yazılım bulaşmış uygulamanın Google Play’de tanıtılmadığını belirtmekte fayda var. Dahası, araştırmacılar ilk dağıtım vektörü hakkında bilgi sahibi değiller, ancak bunun sosyal medya, SMS veya e-posta yoluyla olduğuna inanıyorlar.
Alakalı haberler
- Edward Snowden, kullanıcıları ExpressVPN kullanmayı bırakmaya çağırıyor
- Play Store’daki popüler ücretsiz Android VPN uygulamaları kötü amaçlı yazılım içeriyor
- Play Store’daki Android VPN Uygulamalarının %38’i Kötü Amaçlı Yazılımlarla Salgın
- Çoğu Kullanıcı Verisini Toplayan En İyi 10 Android Eğitim Uygulaması
- Rus Forumlarında ABD Üniversitelerinin VPN Kimlik Bilgilerini Satan Bilgisayar Korsanları