ESET heeft onthuld dat die er zijn verschillende nep-VPN's op internet die gegevens stelen van smartphones, zoals bankgegevens. Deze worden verspreid door computerhackers van de Bahamut-groep en beïnvloeden Android gebruikers van een website die ze speciaal hebben gemaakt om nieuwe slachtoffers aan te trekken. Hoewel ze niet gericht zijn op alle Android-gebruikers, kan dit veranderen, dus het is de moeite waard om extreme voorzorgsmaatregelen te nemen.
Zijn modus operandi is spoofen SecureVPN, SoftVPN en OpenVPN mobiele clients onder apps die Bahamaanse spyware. Wanneer een van deze apps op de smartphones van de slachtoffers wordt geïnstalleerd, krijgt de malware toegang tot hun oproepen, sms, geolocatie en andere relevante informatie, waaronder bankgegevens.
Ze vermommen zich onder valse VPN-diensten en bespioneren je
SET kon zich in ieder geval identificeren 8 versies van deze met malware geïnfecteerde apps met codewijzigingen en updates beschikbaar op internet die ze gebruiken voor hun distributie. Als Bahamut-spyware is ingeschakeld, kunnen Bahamut-operators het op afstand bedienen en verschillende gevoelige gegevens van het apparaat lekken, zoals we hierboven hebben gezegd.
Nep VPN apps zijn niet op de Google Play app winkel. Om hun bereik te vergroten, hebben hackers een valse SecureVPN-website om hun kwaadaardige apps te verspreiden om nieuwe slachtoffers aan te trekken.
Natuurlijk hebben noch het web, noch de apps iets te maken met de originele en vertrouwde SecureVPN-service. Als je kijkt, de originele website is securevpn.com wanneer de nep de naam 'thesecurevpn' gebruikt om misleiding aan te wakkeren. Ze kunnen later nieuwe websites maken of er zijn er meer die niet zijn ontdekt.
ESET is van mening dat het een oplossing op maat voor bepaalde slachtoffers en niet voor iedereen klakkeloos. Slachtoffers van de aanval moeten een activeringssleutel ontvangen. De software draait niet op willekeurige apparaten van gebruikers, maar richt zich in eerste instantie op specifieke mensen. Waar ze naar op zoek zijn, is om vertrouwelijke gebruikersgegevens te krijgen en berichten-apps zoals Telegram te bespioneren, WhatsApp, Signaal, Viber en Facebook Messenger.
Zoals aangegeven door ESET-onderzoeker Lukas Stefanko, wordt de data-exfiltratie gedaan via de de keylogging-functionaliteit van malware , die toegankelijkheidsdiensten misbruikt. Alle geëxtraheerde gegevens worden opgeslagen in een lokale database en later verzonden naar de command and control (C&C) server. Daarnaast kan de app worden geüpdatet door een link naar een nieuwe versie te ontvangen van de C&C-server.
Installeer geen apps van niet-vertrouwde sites
Hoewel je in dit geval geïnfecteerd kunt raken door deze website te bezoeken en een van de geïnfecteerde apps te downloaden, is het de moeite waard om extreme voorzorgsmaatregelen te nemen bij het gebruik van je mobiel. Het is belangrijk om geen apps te downloaden van onbetrouwbare bronnen aangezien uw mobiel kan worden geïnfecteerd door een Trojaans paard, virus of mijnwerker met alle gevolgen van dien, ook al weet u soms niet eens dat uw gegevens of uw mobiel gevaar lopen.
Als u een VPN-service gaat installeren om 'uw regio te wijzigen', uw privacy te behouden of enig ander gebruik dat gewoonlijk aan dit type service wordt gegeven, controleer of het domein het officiële domein is van de service en installeer deze niet vanaf een andere site. Als je geen volledige beveiliging hebt, installeer dan niets. Het is ook goed dat je een antivirusprogramma op je mobiel hebt en controleer of je niets installeert dat schadelijk voor je kan zijn. Als dit het geval is, verwijdert u de schadelijke app onmiddellijk om te voorkomen dat u er verder last van krijgt.
