Grup peretasan bayaran mendistribusikan aplikasi berbahaya melalui situs web SecureVPN palsu yang memungkinkan aplikasi Android diunduh dari Google Play, kata para peneliti di Eset.
Dijuluki “Bahamut,” peneliti dari perusahaan keamanan siber menemukan setidaknya delapan versi spyware. Aplikasi tersebut digunakan sebagai bagian dari kampanye jahat yang menggunakan versi Trojan dari dua aplikasi yang sah – SoftVPN dan OpenVPN. Dalam kedua kasus, aplikasi dikemas ulang dengan spyware Bahamut.
“Tujuan utama dari modifikasi aplikasi adalah untuk mengekstrak data pengguna yang sensitif dan secara aktif memata-matai aplikasi perpesanan korban,” kata para peneliti.
Eksfiltrasi data sensitif dilakukan melalui keylogging, menyalahgunakan layanan aksesibilitas Android. Itu juga dapat secara aktif memata-matai pesan obrolan yang dipertukarkan melalui aplikasi perpesanan populer termasuk Signal, Viber, WhatsApp, Telegram, dan Facebook Messenger.
Vektor serangan awalnya yaitu pesan spearphishing dan aplikasi palsu, yang tujuannya adalah untuk mencuri informasi sensitif dari korbannya.
Aplikasi jahat dikirimkan melalui situs web thiscurevpn[.]com, spoof dari situs securevpn yang sebenarnya tetapi tidak memiliki konten atau gaya layanan SecureVPN yang sah (di domain securevpn.com).
Thiscurevpn[.]com terdaftar pada 27-01-2020, tetapi tanggal distribusi awal aplikasi SecureVPN palsu tidak diketahui.
Sejak distribusi spyware Bahamut melalui situs web dimulai, delapan versi spyware telah tersedia untuk diunduh.
- SecureVPN_104.apk;
- SecureVPN_105.apk;
- SecureVPN_106.apk;
- SecureVPN_107.apk;
- SecureVPN_108.apk;
- SecureVPN_109.apk;
- SecureVPN_1010.apk;
- SecureVPN_1010b.apk.
Selengkapnya: Data Breach Today
