Cómo el spyware Bahamut en Android
apunta a usuarios de Android con falsas apps de VPN

Noticias y Novedades

Cómo opera el spyware Bahamut en Android a través de apps VPN falsas para espiar mensajes, llamadas y datos sensibles.

 

El spyware Bahamut en Android es el eje de una campaña de ciberespionaje activa detectada por el equipo de investigación de ESET. La amenaza se distribuye mediante aplicaciones VPN falsas que imitan servicios legítimos. Estas apps troyanizadas se descargan desde sitios web fraudulentos y no están disponibles en Google Play. Una vez instaladas, permiten robar información sensible del dispositivo. Entre los datos comprometidos se incluyen contactos, mensajes SMS y registros de llamadas. También se espían conversaciones en aplicaciones de mensajería populares. La campaña apunta a víctimas específicas y utiliza claves de activación. Esto le permite operar con bajo perfil y dificultar su detección.

 

Hallazgos clave:

1) La aplicación utilizada son versiones troyanizadas de dos apps de VPN legítimas, SoftVPN u OpenVPN, que se volvieron a empaquetar con el código del spyware Bahamut, el cual fue utilizado en el pasado por el grupo Bahamut.

2) Pudimos identificar al menos ocho versiones de estas aplicaciones parcheadas maliciosamente con cambios de código y actualizaciones disponibles a través del sitio web de distribución, lo que podría significar que la campaña recibe mantenimiento.

3)  El objetivo principal de las modificaciones realizadas a la aplicación es extraer datos confidenciales de la víctima y espiar activamente las aplicaciones de mensajería que utiliza.

4)  Creemos que los objetivos apuntados por los actores maliciosos son elegidos cuidadosamente, ya que una vez que se inicia el spyware Bahamut, solicita una clave de activación antes de que se pueda habilitar la funcionalidad de VPN y spyware. Es probable que tanto la clave de activación como el enlace del sitio web se envíen a usuarios específicos.

5) Desconocemos el vector de distribución inicial (correo electrónico, redes sociales, aplicaciones de mensajería, SMS, etc.).

 

Los investigadores de ESET descubrieron al menos ocho versiones del spyware Bahamut

 

El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN. Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.

El malware tiene la capacidad de exfiltrar datos confidenciales del equipo de la víctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas. También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger. La exfiltración de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad. La campaña parece estar dirigida a blancos muy específicos, ya que no vemos instancias en nuestros datos de telemetría.

 

Acerca de Bahamut

El grupo de APT Bahamut generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia a utilizando como vector de ataque mensajes de phishing y aplicaciones falsas. Bahamut se especializa en ciberespionaje, y creemos que su objetivo es robar información sensible de sus víctimas. Bahamut también se conoce como un grupo de mercenarios que ofrece servicios de piratería a sueldo a una amplia gama de clientes. El nombre con el que se nombró a este actor de amenazas está vinculado al grupo de periodismo de investigación Bellingcat. Bellingcat nombró al grupo por el enorme pez que flota en el vasto Mar Arábigo mencionado en “El Libro de los Seres Imaginarios” escrito por Jorge Luis Borges. Bahamut se describe con frecuencia en la mitología árabe como un pez inimaginablemente enorme.

El grupo ha sido objeto de varias publicaciones en los últimos años, entre ellas:

Distribución

La falsa app de SecureVPN que analizamos fue cargada a VirusTotal el 17 de marzo de 2022 desde una dirección IP que apunta a Singapur, junto con un enlace a un sitio web falso que activó una de nuestras reglas YARA.

Al mismo tiempo, recibimos un mensaje directo en Twitter de @malwrhunterteam acerca de la misma muestra.

La aplicación maliciosa para Android que fue utilizada en esta campaña se distribuyó a través del sitio web thesecurevpn[.]com (ver la Figura 1), que utiliza el nombre, pero no el contenido ni el estilo del servicio SecureVPN legítimo (en el dominio securevpn.com).

Figura 1. El falso sitio web de SecureVPN ofrece para su descarga una aplicación troyanizada

 

Este falso sitio web que se hace pasar por SecureVPN se creó en base a una plantilla web gratuita (consulte la Figura 2), que probablemente fue utilizada por el actor de amenazas como inspiración, ya que solo requirió pequeños cambios y parece confiable.

Figura 2. Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN

 

 

Atribución

La presencia de código malicioso en una falsa muestra de SecureVPN se ha observado en una campaña de SecureChat documentada por Cyble y CoreSec360. De nuestro lado hemos visto este código en uso solamente en campañas realizadas por Bahamut. Las similitudes entre campañas incluyen el almacenamiento de información confidencial en una base de datos local antes de cargarla en el servidor de C&C. La cantidad de datos almacenados en estas bases de datos probablemente depende de la campaña. En la Figura 3 puede observarse las clases de paquetes maliciosos de esta variante en comparación con una muestra anterior del código Bahamut.

Figura 3. Comparación de nombres de clase entre el paquete de SecureChat malicioso (izquierda) y el paquete de SecureVPN falso (derecha)

 

Al comparar la Figura 4 y la Figura 5, se pueden observar las similitudes en las consultas SQL del anterior malware de SecureChat, atribuido a Bahamut, y del malware oculto en la falsa versión de SecureVPN.

Figura 4. Consultas SQL utilizadas en el código malicioso de la campaña anterior de SecureChat

 

Figura 5. Consultas SQL utilizadas en el código malicioso en la campaña que usa una falsa versión de SecureVPN

Por lo tanto, creemos que la falsa aplicación de SecureVPN está vinculada al grupo Bahamut.

 

Funcionalidad

Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:

  • contactos,
  • mensajes SMS,
  • registros de llamadas,
  • una lista de aplicaciones instaladas,
  • ubicación del dispositivo,
  • cuentas de dispositivo,
  • información del dispositivo (tipo de conexión a Internet, IMEI, IP, número de serie de SIM),
  • llamadas telefónicas grabadas y
  • una lista de los archivos en el almacenamiento externo.

Al abusar del servicio de accesibilidad, como se observa en la Figura 10, el malware puede robar notas de la aplicación SafeNotes y espiar activamente los mensajes de chat e información sobre llamadas en aplicaciones de mensajería muy populares, como:

  • imo-International Calls & Chat,
  • Facebook Messenger,
  • Viber,
  • Signal Private Messenger,
  • WhatsApp,
  • Telegram,
  • WeChat, y
  • Conion.

Figura 10. Solicitud falsa de SecureVPN para habilitar manualmente los servicios de accesibilidad

Todos los datos extraídos se almacenan en una base de datos local y luego se envían al servidor de C&C del atacante. La funcionalidad del spyware Bahamut incluye la capacidad de actualizar la aplicación mediante un enlace con una nueva versión del servidor C&C.

 

Conclusión

La campaña dirigida a dispositivos móviles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo método para distribuir sus aplicaciones de spyware para Android: a través de sitios web que se hacen pasar por servicios legítimos, como se ha visto en el pasado. Además, el código del spyware y, por lo tanto, su funcionalidad, es la misma que en campañas anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una táctica que rara vez se ve en las aplicaciones móviles para ciberespionaje.

Parece que esta campaña ha mantenido un perfil bajo, ya que no vemos instancias en nuestros datos de telemetría. Esto probablemente se logra a través de una distribución altamente dirigida, donde junto con un enlace al spyware Bahamut, la potencial víctima recibe una clave de activación, que es necesaria para habilitar la capacidad de espionaje del malware.

Lukas Stefanko
ESET WeLiveSecurity