I ricercatori di ESET hanno individuato almeno otto varianti dello spyware Bahamut che l’omonimo gruppo ha utilizzato durante gli attacchi contro specifici target. I cybercriminali distribuiscono il malware attraverso versioni infette delle app Android di OpenVPN e SoftVPN pubblicate su un sito fasullo di SecureVPN. A differenza di altri casi simili, nessuna delle app è quindi presente sul Google Play Store.
Sembra una VPN, ma è uno spyware
Il gruppo Bahamut è formato da mercenari che vengono pagati per colpire obiettivi specifici, principalmente a scopo di cyberspionaggio. Il metodo di distribuzione iniziale non è noto, ma gli attacchi avvengono quasi certamente tramite email, SMS, social media o servizi di messaggistica. I cybercriminali hanno creato un sito fasullo di SecureVPN, dal quale gli utenti sono inviati a scaricare i file APK infetti.
Il codice del malware è stato inserito nelle app legittime di OpenVPN e SoftVPN. L’utente crede quindi di utilizzare una normale VPN con le funzionalità originali. Invece Bahamut raccoglie di nascosto numerosi dati dallo smartphone e li invia al server C&C (command-and-control).
Lo spyware può esfiltrare SMS, contatti, cronologia delle chiamate, elenco delle app installate, posizione geografica e informazioni del dispositivo (tra cui numero seriale della SIM, codice IMEI e indirizzo IP). Può inoltre attivare il microfono per registrare le telefonate e, sfruttando i servizi di accessibilità, leggere i messaggi di WhatsApp, Telegram, Facebook Messenger, Signal e WeChat.