Doch wer seine sensiblen Daten bereitwillig mit den Hackern teilen möchte, braucht zuerst einen Aktivierungsschlüssel für die OpenVPN-App.
Über eine gefälschte SecureVPN-Webseite bieten Angreifer eine manipulierte OpenVPN-App für Android zum Download an. Unter der Haube versteckt sich eine Spyware, die sensible Benutzerdaten sammelt. Doch nicht jeder darf seine Daten mit den Hackern teilen. Denn die Schadsoftware verlangt einen Aktivierungsschlüssel.
Gefälschte SecureVPN-Webseite bietet Spyware im OpenVPN-Kostüm
Sicherheitsforscher haben eine neue Malware-Kampagne der APT-Gruppe Bahamut entdeckt. Mit der seit Januar 2022 laufenden Operation zielen die Angreifer auf VPN-interessierte Android-Nutzer.
Über eine gefälschte SecureVPN-Webseite unter der Domain „thesecurevpn[.]com“ bieten die Cyberkriminellen einen manipulierten OpenVPN-Client für Android zum Download an. Im Google Play Store war die betrügerische App hingegen nie vertreten.
Zwar missbrauchen die Hacker den Namen von SecureVPN, doch Inhalt und Design der betrügerischen Webseite unterscheiden sich deutlich. Insbesondere Zweiteres scheint seinen Ursprung in einer kostenlosen Bootstrap-basierten Webseiten-Vorlage zu haben.
Manipulierte OpenVPN-App sammelt sensible Benutzerdaten
Über die gefälschte Webseite verbreiteten die Hacker zuerst trojanisierte Versionen von SoftVPN. Später wechselten sie hingegen zu OpenVPN.
Der schadhafte Code, den die Hacker-Gruppe Bahamut dort eingebaut hat, kam bereits in der Vergangenheit bei anderen Angriffen der Gruppe zum Einsatz. Die Forscher von ESET haben mindestens acht verschiedene Versionen der gefälschten Anwendungen aufspüren können.
Ziel der Modifikationen an dem OpenVPN-Client ist es, sensible Benutzerdaten zu erbeuten. So greift die Malware unter anderem auf Kontakte, SMS, Anruflisten, eine Liste installierter Apps sowie den Gerätestandort zu. Ebenso kann sie Unterhaltungen aus beliebten Messengern wie Signal, Rakuten Viber, WhatsApp oder Telegram ausspionieren.
Schadsoftware verlangt einen Aktivierungsschlüssel
Die Sicherheitsforscher gehen davon aus, dass die Hacker ihre Ziele sorgfältig aussuchen. Denn die manipulierte OpenVPN-Software verlangt offenbar einen Aktivierungsschlüssel, den die Angreifer vermutlich zusammen mit einem Link zur gefälschten Webseite direkt an ihre Opfer schicken.
Ohne diesen Schlüssel funktioniert weder der OpenVPN-Client noch die eingebaute Spyware. Möglicherweise handelt es sich dabei auch um eine Schutzmaßnahme, da dynamische Malware-Analyse-Tools die Schadsoftware ohne den Aktivierungsschlüssel wahrscheinlich nicht unmittelbar erkennen. Leider war es den ESET-Forschern nicht möglich, einen solchen Schlüssel zu erhalten, um die Aktivität der Malware genauer zu untersuchen.
Über welchen Kanal die Verbreitung erfolgt, ist bisher unbekannt. Dies kann beispielsweise per E-Mail, Messaging-Apps, SMS oder soziale Medien passieren.
Da die Sicherheitsforscher bisher keine Angriffsfälle in ihren Telemetriedaten ausfindig machen konnten, gehen sie davon aus, dass die Angreifer sehr viel Wert darauf legen, mit ihrer manipulierten OpenVPN-App „unter dem Radar zu fliegen„.