Falešné VPN špehují mobilní telefony a kradou zprávy

ESET odhalil, že existují několik falešných VPN na internetu, které kradou data z chytrých telefonů, jako jsou bankovní informace. Ty jsou distribuovány počítačovými hackery ze skupiny Bahamut a ovlivňují Android uživatelé z webové stránky, kterou vytvořili výslovně za účelem přilákání nových obětí. Přestože se nezaměřují na všechny uživatele Androidu, mohlo by se to změnit, takže stojí za to přijmout extrémní opatření.

Jeho modus operandi je falšovat SecureVPN, SoftVPN a OpenVPN mobilní klienti pod aplikacemi, které mají Bahamutský spyware. Když je jedna z těchto aplikací nainstalována na smartphony svých obětí, malware získá přístup k jejich hovorům, SMS, geolokaci a dalším relevantním informacím, včetně bankovních údajů.

Falešné VPN špehují mobilní telefony

Maskují se pod falešnými službami VPN a špehují vás

SET byl schopen identifikovat alespoň 8 verzí těchto aplikací infikovaných malwarem s změny a aktualizace kódu dostupné na webu, který používají ke své distribuci. Pokud je spyware Bahamut povolen, operátoři Bahamut jej mohou vzdáleně ovládat a unikat ze zařízení různá citlivá data, jak jsme uvedli výše.

Falešný VPN aplikace nejsou na Google Play obchod s aplikacemi. Aby hackeři zvýšili svůj dosah, vytvořili a falešný web SecureVPN distribuovat své škodlivé aplikace, aby přilákaly nové oběti.

Web ani aplikace samozřejmě nemají nic společného s původní a důvěryhodnou službou SecureVPN. Pokud se podíváte, původní web je securevpn.com když ten falešný používá jméno 'thesecurevpn' k podněcování klamu. Mohli by později vytvořit nové webové stránky nebo jich tam bylo více, které nebyly objeveny.

falso-securevpn

ESET se domnívá, že se jedná o a řešení na míru pro určité oběti a ne pro všechny bez rozdílu. Oběti útoku musí obdržet aktivační klíč. Software nebude běžet na zařízeních náhodných uživatelů, ale zpočátku se zaměřuje na konkrétní lidi. To, co hledají, je získat důvěrná uživatelská data a špehovat aplikace pro zasílání zpráv, jako je Telegram, WhatsApp, Signál, Viber a facebook Messenger.

Jak uvedl výzkumník ESET Lukas Stefanko, exfiltrace dat se provádí prostřednictvím funkce keylogging malwaru , která zneužívá služby přístupnosti. Všechna extrahovaná data jsou uložena v místní databázi a později odeslána na server pro příkazy a řízení (C&C). Kromě toho lze aplikaci aktualizovat přijetím odkazu na novou verzi ze serveru C&C.

Neinstalujte aplikace z nedůvěryhodných stránek

Ačkoli v tomto případě je způsob, jak se nakazit, přístupem na tento web a stažením jedné z infikovaných aplikací, při používání mobilního telefonu se vyplatí přijmout extrémní opatření. To je důležité nestahovat aplikace z nedůvěryhodných zdrojů protože váš mobil může být infikován trojským koněm, virem nebo těžařem s následky, které to má, i když někdy ani nevíte, že jsou vaše data nebo váš mobil v ohrožení.

Odinstalujte aplikace z Androidu

Pokud se chystáte nainstalovat službu VPN, abyste „změnili svůj region“, zachovali si své soukromí nebo jakékoli jiné použití, které se obvykle tomuto typu služby poskytuje, zkontrolujte, zda je doména oficiální doménou službu a neinstalujte ji z žádné jiné stránky. Pokud nemáte úplné zabezpečení, nic neinstalujte. Také je dobré, že máte v mobilu antivirus a kontrolujete, zda neinstalujete nic, co by vám mohlo ublížit. Pokud ano, okamžitě odinstalujte škodlivou aplikaci, abyste zabránili jejímu dalšímu ovlivnění.