Análisis de malware
El malware Bahamut para Android y sus nuevas características
21 de septiembre de por Pedro Tavares
Bahamut es un grupo APT activo desde y ataca a los usuarios de dispositivos móviles después de un año de silencio. La primera alerta de esta nueva campaña se vio en Twitter , con MalwareHunterTeam publicando nuevos indicadores de comprensión (IoCs) sobre una nueva pieza de malware. Los detalles sobre el APK malicioso se muestran a continuación.
1: APK malicioso de la campaña más reciente del grupo Bahamut APT.
La nueva campaña ha estado en marcha desde abril de y los operadores detrás de la amenaza desarrollaron un sitio web para descargar una aplicación potencialmente legítima para atraer a las víctimas. Como mencionaron algunos expertos en seguridad, ” los sitios de phishing estaban enmascarados como sitios web genuinos para descargar una aplicación de mensajería que proporciona una comunicación segura “.
Además, los delincuentes también han distribuido la aplicación maliciosa a través de sitios web obscenos.
2: Sitio web malicioso que pretende ser una auténtica plataforma móvil para mensajería segura ( fuente ).
Como se menciona en una publicación de Cyble , el sitio web de phishing parece profesional y los delincuentes presentan las funciones de la aplicación en el menú Funciones y en la página Contáctenos y Suscríbase , como se observa en la 3 a continuación. Con estos detalles, las víctimas están convencidas de descargar el APK malicioso e instalarlo en sus dispositivos.
3: Características del APK malicioso de la campaña en curso de Bahamut.
Como puede verse, los delincuentes ofrecen muchas funciones, entre ellas:
- VPN incorporada: ahora con una conexión VPN incorporada para garantizar una capa adicional de seguridad.
- Chat uno a uno: chat uno a uno rápido y eficiente.
- Chat grupal: crea y chatea con muchos grupos de personas fácilmente.
- La seguridad es primordial: nos tomamos en serio la seguridad y los datos de nuestros usuarios.
- Cifrado de extremo a extremo : todos los chats están cifrados de extremo a extremo para evitar el robo de datos.
- Carga de archivos adjuntos: envíe archivos multimedia y archivos adjuntos a amigos fácilmente desde la aplicación.
Profundizando en los detalles del APK
El archivo de paquete malicioso de Android abusa de ciertos permisos solicitados durante el proceso de instalación. Algunos de ellos son READ_SMS , READ_CONTACTS , READ_CALL_LOG y RECEIVE_SMS .
4: Parte de los permisos de la aplicación solicitados durante el proceso de instalación ( fuente ).
Al observar los permisos de la aplicación, se espera que se abuse de las aplicaciones de chat debido a la naturaleza y las campañas pasadas en las que participaron los grupos Bahamut. Al comparar las similitudes entre este APK malicioso y muestras antiguas de Bahamut Android Spyware, el equipo de Cyble observó que se agregaron algunos módulos adicionales. Estos módulos están relacionados con aplicaciones de mensajería, incluidas Viber, Imo, Signal y Telegram.
5: Similitudes entre los módulos de muestra de Bahamut Android Spyware y el nuevo archivo de paquete de Android distribuido en ( fuente ).
En detalle, las aplicaciones objetivo son las siguientes:
- com.viber.voip
- com.protectedtext.android
- com.facebook.orca
- com.imo.android.imoim
- org.telegram.messenger
- com.whatsapp
- com.secapp.tor.conion
- org.thinktcrime.securesms
La aplicación se ejecuta en segundo plano, captura los chats y secretos de las víctimas y envía toda la información al servidor C2 malicioso. Además, los delincuentes obtienen y roban detalles del almacenamiento interno, como documentos y fotografías.
6: Servidor de Comando y Control (CC) utilizado en la campaña de Bahamut en.
Medidas preventivas contra el malware Bahamut
El malware móvil se ha distribuido con técnicas nuevas y peligrosas para difundir y manipular datos o robar secretos de los usuarios.
Estas piezas maliciosas utilizan esquemas de ingeniería social para atraer a las víctimas para que descarguen aplicaciones maliciosas y las ejecuten en sus dispositivos. Posteriormente, y aprovechando aplicaciones legítimas como Telegram, Signal y WhatsApp, los delincuentes pueden realizar una gran cantidad de actividades maliciosas, entre ellas:
- Difundir malware a través de mensajes
- Robar los secretos de los usuarios de aplicaciones legítimas o del almacenamiento interno.
- Crear mensajes falsos y enviarlos a través de aplicaciones legítimas.
- Extorsionar a los usuarios amenazándolos con enviar datos confidenciales o enlaces maliciosos a todos los contactos o grupos de WhatsApp de los usuarios (el mejor objetivo desde la perspectiva maliciosa).
En este sentido, la prevención es crucial para frenar este tipo de amenazas . Antes de descargar e instalar una nueva aplicación, verifique si la fuente es confiable y si los permisos de la aplicación se alinean con su propósito.
Fuentes:
- Bahamut malware para Android , Cyble
- Troyanos bancarios Android , Segurança-Informática