Bahamut-Gruppe nutzt gefälschte SecureVPN-Webseite zur Verbreitung von OpenVPN-Spyware

OpenVPN: Hacker verpacken Spyware in Android-App

Sicherheitsforscher haben eine neue Malware-Kampagne der APT-Gruppe Bahamut entdeckt, die seit Januar 2022 läuft und auf VPN-interessierte Android-Nutzer abzielt. Die Angreifer verbreiten eine manipulierte OpenVPN-Client-App auf einer gefälschten SecureVPN-Webseite mit dem Namen "thesecurevpn[.]com". Der Schadcode wurde bereits in der Vergangenheit von der Gruppe verwendet und hat mindestens acht verschiedene Versionen der gefälschten Anwendungen hervorgebracht.



Aktivierungsschlüssel notwendig


Wer bereit ist, seine sensiblen Daten mit den Hackern zu teilen, benötigt zuerst einen Aktivierungsschlüssel für die OpenVPN-App. Dieser wird vermutlich zusammen mit einem Link zur gefälschten Webseite direkt an die Opfer geschickt. Ohne diesen Schlüssel funktionieren der OpenVPN-Client und die eingebaute Spyware nicht. Möglicherweise handelt es sich dabei auch um eine Schutzmaßnahme, um dynamische Malware-Analyse-Tools zu umgehen. Die genaue Verbreitungsmethode ist bisher unbekannt.



Spyware sammelt sensible Benutzerdaten


Die manipulierte OpenVPN-Software versteckt eine Spyware, die sensible Benutzerdaten sammelt. Die Malware greift auf Kontakte, SMS, Anruflisten, eine Liste installierter Apps sowie den Gerätestandort zu. Ebenso kann sie Unterhaltungen aus beliebten Messengern wie Signal, Rakuten Viber, WhatsApp oder Telegram ausspionieren. Da die Schadsoftware verlangt, dass Nutzer einen Aktivierungsschlüssel eingeben, handelt es sich vermutlich um gezielte Angriffe.



Schutzmaßnahmen


Da die Sicherheitsforscher bisher keine Angriffsfälle in ihren Telemetriedaten ausfindig machen konnten, gehen sie davon aus, dass die Angreifer sehr viel Wert darauf legen, mit ihrer manipulierten OpenVPN-App "unter dem Radar zu fliegen". Nutzer sollten deshalb vorsichtig sein, wenn sie unerwartete E-Mails, Nachrichten oder Links erhalten. Es wird empfohlen, nur vertrauenswürdige Quellen zum Herunterladen von Apps zu verwenden und Antiviren-Software zu installieren. Auch regelmäßige Backups der Daten auf einem externen Speichermedium können im Falle eines Angriffs hilfreich sein.




Zuletzt aktualisiert am Uhr





Kommentare


Anzeige