Um grupo cibercriminoso chamado Bahamut está usando versões maliciosas de apps de VPN conhecidos para instalar aplicativos de espionagem nos smartphones Android das vítimas. O contraste aparece em uma campanha que parece ser direcionada, com a busca dos usuários por maior segurança resultando no furto de informações pessoais, conversas e outros detalhes sigilosos.
A onda de contaminações está acontecendo desde janeiro deste ano, mas de acordo com os especialistas da empresa de cibersegurança ESET, parece ser altamente direcionada. Pelo menos oito versões comprometidas de softwares como OpenVPN, SecureVPN e SoftVPN, com direito a sites falsos, seriam utilizadas nos ataques; o vetor inicial não foi confirmado, mas a aposta está em e-mails e mensagens em redes sociais com links maliciosos para download.
A ideia de uma campanha direcionada também é notável pelo uso de um código de ativação específico, que quando usado, ativa o spyware nos smartphones das vítimas. A praga, então, começa a registrar os dados digitados e também captura conversas via SMS ou aplicativos como WhatsApp, Telegram e Signal. Outras informações, como o registro de chamadas e a localização geográfica, também são coletadas, com todo o volume sendo enviado a servidores sob o controle dos bandidos.
Não se sabe ao certo o intuito da onda de infecções, uma vez que o Bahamut não está associado diretamente a nenhum país, mas sim, atua no mercenarismo digital. Enquanto a instalação de spyware faz pensar em uma campanha com fins políticos, o relatório publicado pela ESET não indica nem mesmo uma associação com golpes anteriores aplicados pela quadrilha, que desde 2016 se concentra, principalmente, em países do Oriente Médio e sul da Ásia.
Por outro lado, chama atenção o desenvolvimento sofisticado da ferramenta de espionagem, bem como o uso de códigos que ativam os ataques direcionados. Isso também faz pensar em golpes de phishing arrojados, uma vez que os bandidos parecem ter a confiança das vítimas para as induzir ao download da solução maliciosa.
Medidas básicas, entretanto, podem impedir comprometimentos desse tipo. Os apps usados pelo Bahamut, por exemplo, não estavam disponíveis na Google Play Store, com o download apenas por meios certificados sendo a principal dica de segurança para os usuários do Android. O ideal é evitar clicar em links enviados por mensagens ou redes sociais, preferindo sites oficiais e meios legítimos para instalação.
Canaltech