Cyberthreat.id – Kelompok spionase dunia maya yang dikenal sebagai Bahamut telah dikaitkan sebagai dibalik kampanye yang sangat bertarget yang menginfeksi pengguna perangkat Android dengan aplikasi jahat yang dirancang untuk mengekstrak informasi sensitif.

Aktivitas tersebut, yang telah aktif sejak Januari 2022, mencakup pendistribusian aplikasi VPN jahat melalui situs web SecureVPN palsu yang dibuat untuk tujuan ini, kata perusahaan keamanan siber Slovakia ESET dalam laporan baru yang dibagikan kepada The Hacker News.

Melansir The Hacker News, setidaknya delapan varian berbeda dari aplikasi spyware telah ditemukan hingga saat ini, dengan versi trojanisasi dari aplikasi VPN yang sah seperti SoftVPN dan OpenVPN.

Aplikasi yang dirusak dan pembaruannya didorong ke pengguna melalui situs web palsu. Diduga juga bahwa target dipilih dengan hati-hati, karena meluncurkan aplikasi mengharuskan korban memasukkan kunci aktivasi untuk mengaktifkan fitur tersebut.

Ini menyiratkan penggunaan vektor distribusi yang tidak ditentukan, meskipun bukti sebelumnya menunjukkan bahwa itu bisa berupa email spear-phishing, pesan SMS, atau pesan langsung di aplikasi media sosial.

Mekanisme kunci aktivasi juga dirancang untuk berkomunikasi dengan server yang dikendalikan aktor, yang secara efektif mencegah malware dipicu secara tidak sengaja tepat setelah diluncurkan pada perangkat pengguna yang tidak ditargetkan.

Bahamut dibuka kedoknya pada tahun 2017 oleh Bellingcat sebagai operasi peretasan yang menargetkan pejabat pemerintah, kelompok hak asasi manusia, dan entitas terkenal lainnya di Asia Selatan dan Timur Tengah dengan aplikasi Android dan iOS berbahaya untuk memata-matai korbannya.

“Mungkin aspek paling khas dari keahlian Bahamut yang ditemukan BlackBerry adalah penggunaan situs web, aplikasi, dan persona asli yang dibuat dengan susah payah oleh grup,” kata BlackBerry pada Oktober 2020.

Awal tahun ini, Cyble merinci dua set serangan phishing yang diatur oleh grup untuk mendorong aplikasi Android palsu yang menyamar sebagai aplikasi obrolan.

Gelombang terbaru mengikuti lintasan serupa, menipu pengguna untuk menginstal aplikasi VPN yang tampaknya tidak berbahaya yang dapat mengekstraksi banyak informasi, termasuk file, daftar kontak, SMS, rekaman panggilan telepon, lokasi, dan pesan dari WhatsApp, Facebook Messenger, Signal, Viber , Telegram, dan WeChat.

"Pengeluaran data dilakukan melalui fungsi keylogging malware, yang menyalahgunakan layanan aksesibilitas," kata peneliti ESET Lukáš Štefanko.

Sebagai tanda bahwa kampanye terpelihara dengan baik, pelaku ancaman awalnya mengemas kode berbahaya dalam aplikasi SoftVPN, sebelum pindah ke OpenVPN, perubahan yang dijelaskan oleh fakta bahwa aplikasi SoftVPN yang sebenarnya berhenti berfungsi dan tidak mungkin lagi membuat koneksi VPN.

“Kampanye seluler yang dioperasikan oleh grup APT Bahamut masih aktif; menggunakan metode yang sama dalam mendistribusikan aplikasi spyware Android melalui situs web yang meniru atau menyamar sebagai layanan yang sah, seperti yang telah terlihat di masa lalu,” tambah Štefanko.