ESETは11月23日(米国時間)、「Bahamut cybermercenary group targets Android users with fake VPN apps|WeLiveSecurity」において、Androidユーザーを標的としたサイバー攻撃を特定したと伝えた。このサイバー攻撃で使用される悪質なアプリは、Signal、Viber、Telegramなどのコミュニケーションアプリから連絡先、SMSメッセージ、通話記録、チャットメッセージなどのデータを流出させるという。

  • Bahamut cybermercenary group targets Android users with fake VPN apps|WeLiveSecurity

    Bahamut cybermercenary group targets Android users with fake VPN apps|WeLiveSecurity

「Bahamut」と呼ばれている持続的標的型攻撃(APT: Advanced Persistent Threat)グループによるAndroidユーザーをターゲットにした新たなキャンペーンが確認された。このキャンペーンは2022年1月から活発化しており、悪意のあるAndroidアプリをダウンロードさせる偽のWebサイトSecureVPNを通じて配布されていることが明らかとなった。なお、攻撃で使われているマルウェアにはSecureVPNという名称が使われているが、マルチプラットフォーム対応の正規のSecureVPNソフトウェアおよびサービスとはまったく関係ないとされている。

このキャンペーンのポイントは次のとおり。

  • 使用されているアプリは、SoftVPNまたはOpenVPNという2つの正規VPNアプリを偽造したいずれかをトロイの木馬化したものとされている
  • 機密性の高いユーザーデータの窃取および被害者のメッセージングアプリを積極的にスパイすることが主な目的とみられている
  • スパイウェア「Bahamut」が起動した際、VPNとスパイウェアの機能を有効にする前にアクティベーションキーを要求するため、ターゲットが慎重に選ばれていると考えられている
  • 最初の配布ベクトル(電子メール、ソーシャルメディア、メッセージングアプリ、SMSなど)は判明していない

持続的標的型攻撃グループ「Bahamut」によるモバイルキャンペーンは、現在も活発に行われており、正規のサービスになりすましたWebサイト経由でAndroid向けスパイウェアアプリを配布する手法をとっていると報告されている。