Google’ın kötü amaçlı uygulamaların İnternet üzerinden yayılmasını önlemek için gösterdiği tüm çabalara rağmen, Google Oyun mağazası, şirketin resmi uygulama mağazasında milyonlarca indirilen zenginleştirilmiş uygulamaların bulunduğu birçok durum olmuştur. En son geliştirmede, VPN uygulamalarının sahte ve Trojan yüklü sürümleri tespit edildi. Ancak bu sefer ayrı bir web sitesi aracılığıyla dağıtılıyorlar.
ESET siber güvenlik araştırma şirketinden bir bloga göre, ekip aktif bir kampanya hedefi belirledi. Android kullanıcılar. Kampanyanın Bahamut APT grubu tarafından yürütüldüğü ve Ocak 2022’den beri aktif olduğu bildiriliyor.
Kötü amaçlı yazılım nasıl yayılır?
Bu kampanyada, “siber paralı asker grubu”, kötü amaçlı uygulamaları, indirilmek üzere yalnızca Android uygulamaları sunan sahte bir SecureVPN web sitesi aracılığıyla dağıtır. Web sitesi aracılığıyla kullanılan kötü amaçlı yazılım yüklü uygulamaların, meşru uygulamalarla aynı adı (SoftVPN ve OpenVPN) kullandığı söyleniyor.
Bu uygulamaların bu sahte sürümleri, Bahamut grubunun geçmişte insanlara saldırmak için kullandığı Bahamut casus yazılım koduyla yeniden paketlendi. ESET, kötü amaçlı olarak yamalı bu uygulamaların en az sekiz sürümünü belirlediklerini söylüyor.
Şirket, bu uygulamaların asıl amacının hassas kullanıcı verilerini ayıklamak ve kurbanların mesajlaşma uygulamalarını gözetlemek olduğunu iddia ediyor. Bu uygulamalar kişileri, metin mesajlarını, kayıtlı telefon görüşmelerini ve hatta aşağıdaki uygulamalardan gelen sohbet mesajlarını filtreler: sinyalviber ve Telgraf.
“Bahamut casus yazılımı başlatıldığında, VPN ve casus yazılım işlevselliğini etkinleştirmeden önce bir aktivasyon anahtarı istediğinden, hedeflerin dikkatli bir şekilde seçildiğine inanıyoruz. Hem aktivasyon anahtarı hem de web sitesi bağlantısının hedeflenen kullanıcılara gönderilmesi muhtemeldir.” bir blog yazısında.
Bahamut APT grubu iş başında
ESET’e göre Bahamut APT grubu Orta Doğu ve Güney Asya. Siber casuslukta uzmanlaşmış grup, “çok çeşitli müşterilere kiralık hack hizmetleri sunan bir paralı asker grubu olarak anılıyor.” Grubun mobil kampanyasının hala aktif olduğu bildiriliyor.
ESET siber güvenlik araştırma şirketinden bir bloga göre, ekip aktif bir kampanya hedefi belirledi. Android kullanıcılar. Kampanyanın Bahamut APT grubu tarafından yürütüldüğü ve Ocak 2022’den beri aktif olduğu bildiriliyor.
Kötü amaçlı yazılım nasıl yayılır?
Bu kampanyada, “siber paralı asker grubu”, kötü amaçlı uygulamaları, indirilmek üzere yalnızca Android uygulamaları sunan sahte bir SecureVPN web sitesi aracılığıyla dağıtır. Web sitesi aracılığıyla kullanılan kötü amaçlı yazılım yüklü uygulamaların, meşru uygulamalarla aynı adı (SoftVPN ve OpenVPN) kullandığı söyleniyor.
Bu uygulamaların bu sahte sürümleri, Bahamut grubunun geçmişte insanlara saldırmak için kullandığı Bahamut casus yazılım koduyla yeniden paketlendi. ESET, kötü amaçlı olarak yamalı bu uygulamaların en az sekiz sürümünü belirlediklerini söylüyor.
Şirket, bu uygulamaların asıl amacının hassas kullanıcı verilerini ayıklamak ve kurbanların mesajlaşma uygulamalarını gözetlemek olduğunu iddia ediyor. Bu uygulamalar kişileri, metin mesajlarını, kayıtlı telefon görüşmelerini ve hatta aşağıdaki uygulamalardan gelen sohbet mesajlarını filtreler: sinyalviber ve Telgraf.
“Bahamut casus yazılımı başlatıldığında, VPN ve casus yazılım işlevselliğini etkinleştirmeden önce bir aktivasyon anahtarı istediğinden, hedeflerin dikkatli bir şekilde seçildiğine inanıyoruz. Hem aktivasyon anahtarı hem de web sitesi bağlantısının hedeflenen kullanıcılara gönderilmesi muhtemeldir.” bir blog yazısında.
Bahamut APT grubu iş başında
ESET’e göre Bahamut APT grubu Orta Doğu ve Güney Asya. Siber casuslukta uzmanlaşmış grup, “çok çeşitli müşterilere kiralık hack hizmetleri sunan bir paralı asker grubu olarak anılıyor.” Grubun mobil kampanyasının hala aktif olduğu bildiriliyor.