ESET-Forscher haben eine aktive Kampagne identifiziert, die auf Android-Nutzer abzielt und von der Bahamut APT-Gruppe durchgeführt wird. Diese Kampagne ist seit Januar 2022 aktiv. Die bösartigen Apps werden über eine gefälschte SecureVPN-Website verbreitet, die nur Android-Apps zum Download anbietet. Beachten Sie, dass die in dieser Kampagne verwendete Malware zwar den Namen SecureVPN verwendet, aber in keiner Weise mit der legitimen, plattformübergreifenden SecureVPN-Software und dem Dienst in Verbindung steht.

Die wichtigsten Punkte des Blogposts:

  • Bei der verwendeten App handelte es sich zu verschiedenen Zeiten um eine trojanisierte Version einer der beiden legitimen VPN-Apps SoftVPN oder OpenVPN, die mit Bahamut-Spyware-Code neu verpackt wurden, den die gleichnamige Bahamut-Gruppe in der Vergangenheit verwendet hat.
  • Wir konnten mindestens acht Versionen dieser gefälschten Anwendungen identifizieren. Codeänderungen und Updates wurden über eigens eingerichtete Website zur Verfügung gestellt, was daraufhindeutet, dass die Kampagne gut gepflegt wird.
  • Der Hauptzweck der App-Modifikationen besteht darin, sensible Benutzerdaten zu stehlen und die Messaging-Apps der Opfer aktiv auszuspionieren.
  • Wir glauben, dass die Ziele sorgfältig ausgewählt werden, da die Bahamut-Spyware nach dem Start einen Aktivierungsschlüssel verlangt, bevor die VPN- und Spyware-Funktionen aktiviert werden können. Sowohl der Aktivierungsschlüssel als auch der Link zur Website werden offenbar direkt an die Zielnutzer gesendet.
  • Wir kennen zum jetzigen Zeitpunkt den ursprünglichen Verbreitungsvektor nicht (E-Mail, soziale Medien, Messaging-Apps, SMS usw.).

ESET-Forscher entdeckten mindestens acht Versionen der Bahamut Spyware. Die Malware wird über eine gefälschte SecureVPN-Website als trojanisierte Versionen von zwei legitimen Apps - SoftVPN und OpenVPN - verbreitet. Die bösartigen Apps waren nie zum Download bei Google Play verfügbar.

Die Malware ist in der Lage, sensible Daten wie Kontakte, SMS-Nachrichten, Anrufprotokolle, den Standort des Geräts und aufgezeichnete Telefongespräche zu stehlen. Sie kann auch aktiv Chat-Nachrichten ausspionieren, die über sehr beliebte Messaging-Apps wie Signal, Viber, WhatsApp, Telegram und Facebook Messenger ausgetauscht werden; die Datenexfiltration erfolgt über die Keylogging-Funktion der Malware, die die Bedienungshilfen des Android-Systems missbraucht. Die Kampagne scheint sehr zielgerichtet zu sein, da wir in unseren Telemetriedaten keine Vorkommnisse sehen.

Bahamut Übersicht

Die APT-Gruppe Bahamut zielt in der Regel auf Unternehmen und Einzelpersonen im Nahen Osten und in Südasien ab, wobei Spearphishing-Nachrichten und gefälschte Anwendungen den ersten Angriffsvektor bilden. Bahamut ist auf Cyberspionage spezialisiert, und wir glauben, dass ihr Ziel darin besteht, sensible Informationen von ihren Opfern zu stehlen. Bahamut wird auch als Söldnergruppe bezeichnet, die einer Vielzahl von Kunden "Hack-for-Hire"-Dienste anbietet. Der Name dieser Gruppe, die ein Meister im Phishing zu sein scheint, wurde von der investigativen Journalistengruppe Bellingcat vergeben. Bellingcat benannte die Gruppe nach dem riesigen Fisch, der im weiten Arabischen Meer schwimmt und im Buch "Einhorn, Sphinx und Salamander: Das Buch der imaginären Wesen" von Jorge Luis Borges erwähnt wird. Bahamut wird in der arabischen Mythologie häufig als ein unvorstellbar riesiger Fisch beschrieben.

Die Gruppe war in den letzten Jahren Gegenstand mehrerer Veröffentlichungen, darunter:

Verteilung

Die erste gefälschte SecureVPN-App, die wir analysiert haben, wurde am 17.03.2022 von einer IP-Adresse in Singapur auf VirusTotal hochgeladen, zusammen mit einem Link zu einer gefälschten Website, die eine unserer YARA-Regeln auslöste.

Zur gleichen Zeit wurden wir über Twitter per DM von @malwrhunterteam über das gleiche Sample informiert.

Die bösartige Android-Anwendung, die in dieser Kampagne verwendet wurde, wurde über die Website thesecurevpn[.]com (siehe Abbildung 1) bereitgestellt, die den Namen des legitimen SecureVPN-Dienstes (unter der Domain securevpn.com) verwendet, jedoch mit anderem Inhalt und Design.

Abbildung 1. Gefälschte SecureVPN-Website bietet eine trojanisierte App zum Download an

Diese gefälschte SecureVPN-Website wurde auf der Grundlage einer kostenlosen Webvorlage erstellt (siehe Abbildung 2), die höchstwahrscheinlich von den Angreifern als Inspiration verwendet wurde, da sie nur geringe Änderungen erforderte und vertrauenswürdig aussieht.

Abbildung 2. Kostenlose Website-Vorlage, die zur Erstellung der Seite für die gefälschte VPN-App verwendet wurde

thesecurevpn[.]com wurde am 27.01.2022 registriert. Der Zeitpunkt der ersten Verbreitung der gefälschten SecureVPN-App ist jedoch unbekannt. Die bösartige App wird direkt über die Website bereitgestellt und war nie im Google Play Store erhältlich.

Attribution

Der bösartige Code im gefälschten SecureVPN Sample wurde in der von Cyble und CoreSec360 dokumentierten SecureChat-Kampagne gesehen. Wir haben gesehen, dass dieser Code nur in von Bahamut durchgeführten Kampagnen verwendet wurde. Ähnlich wie bei diesen Kampagnen werden sensible Informationen in einer lokalen Datenbank gespeichert, bevor sie auf den C&C-Server hochgeladen werden. Die Menge der in diesen Datenbanken gespeicherten Daten hängt wahrscheinlich von der jeweiligen Kampagne ab. In Abbildung 3 sehen Sie bösartige Paketklassen aus dieser Variante im Vergleich zu einem früheren Sample von Bahamut-Code.

Abbildung 3. Vergleich der Klassennamen zwischen dem früheren bösartigen SecureChat-Paket (links) und dem gefälschten SecureVPN-Paket (rechts)

Wenn Sie Abbildung 4 und Abbildung 5 vergleichen, können Sie die Ähnlichkeiten der SQL-Abfragen in der früheren SecureChat-Malware, die Bahamut zugeschrieben wird, und der gefälschten SecureVPN-Malware erkennen.

Abbildung 4. Die SQL-Abfragen, die im bösartigen Code der früheren SecureChat-Kampagne verwendet wurden

Abbildung 5. Die in der gefälschten SecureVPN-Kampagne in bösartigem Code verwendeten SQL-Abfragen

Wir glauben daher, dass die gefälschte SecureVPN-Anwendung mit der Bahamut-Gruppe in Verbindung steht.

Analyse

Seit die Verbreitungswebsite online ist, stehen mindestens acht Versionen der Bahamut-Spyware zum Download bereit. Diese Versionen wurden alle von den Angreifern erstellt, wobei der gefälschte Anwendungsname von der Versionsnummer gefolgt wird. Wir konnten die folgenden Versionen vom Server abrufen, wobei wir glauben, dass die Version mit dem niedrigsten Versionssuffix in der Vergangenheit an potenzielle Opfer weitergegeben wurde, während in letzter Zeit höhere Versionsnummern (secureVPN_104.apk, SecureVPN_105.apk, SecureVPN_106.apk, SecureVPN_107.apk, SecureVPN_108.apk, SecureVPN_109.apk, SecureVPN_1010.apk, secureVPN_1010b.apk) verwendet wurden.

Wir unterteilen diese Versionen in zwei Zweige, da der Schadcode von Bahamut in zwei verschiedenen legitimen VPN-Anwendungen platziert wurde.

Im ersten Zweig, von Version secureVPN_104 bis secureVPN_108, wurde bösartiger Code in die legitime SoftVPN-Anwendung eingefügt, die auf Google Play zu finden ist und den eindeutigen Paketnamen com.secure.vpn verwendet. Dieser Paketname ist auch im Wert PARENT_APPLICATION_ID in den Versionsinformationen des dekompilierten Quellcodes des ersten gefälschten Zweigs der SecureVPN-Anwendung zu sehen, wie in Abbildung 6 dargestellt.

Abbildung 6. Gefälschtes SecureVPN v1.0.4 mit bösartigem Code, der in SoftVPN als übergeordneter Anwendung enthalten ist

Im zweiten Zweig, von Version secureVPN_109 bis secureVPN_1010b, wurde bösartiger Code in die legitime Open-Source-Anwendung OpenVPN eingefügt, die auf Google Play verfügbar ist und den eindeutigen Paketnamen com.openvpn.secure verwendet. Wie beim trojanisierten SoftVPN-Zweig ist der Paketname der Originalanwendung auch in den Versionsinformationen der gefälschten SecureVPN-Anwendung sichtbar, die im dekompilierten Quellcode zu finden sind, wie in Abbildung 7 zu sehen ist.

Abbildung 7. Gefälschtes SecureVPN v1.0.9 (SecureVPN_109) mit bösartigem Code, der in OpenVPN als übergeordneter Anwendung enthalten ist, obwohl der fest kodierte VERSION_NAME (1.0.0) zwischen den Versionen nicht geändert wurde

Abgesehen von der Aufspaltung in diese beiden Zweige, bei denen derselbe Schadcode in zwei verschiedene VPN-Apps implantiert wurde, enthielten andere gefälschte SecureVPN-Versionsupdates nur geringfügige Code-Änderungen oder -Verbesserungen, die für die Gesamtfunktionalität nicht von Bedeutung waren.

Der Grund, warum die Angreifer von SoftVPN zu OpenVPN als übergeordneter App gewechselt sind, ist unklar. Wir vermuten jedoch, dass der Grund dafür sein könnte, dass die legitime SoftVPN-App nicht mehr funktioniert oder gewartet wird und keine VPN-Verbindungen mehr herstellen kann - wie unsere Tests der neuesten SoftVPN-App von Google Play bestätigen. Dies könnte ein Grund für Bahamut sein, zu OpenVPN zu wechseln, da potenzielle Opfer eine nicht funktionierende VPN-App von ihren Geräten deinstallieren könnten. Der Wechsel von einer übergeordneten App zu einer anderen erforderte wahrscheinlich mehr Zeit, Ressourcen und Aufwand für die erfolgreiche Implementierung durch die Angreifer.

Der mit der OpenVPN-Anwendung mitgelieferte Schadcode wurde eine Schicht über dem VPN-Code implementiert. Dieser bösartige Code implementiert eine Spyware-Funktionalität, die einen Aktivierungsschlüssel anfordert und dann den bereitgestellten Schlüssel mit dem C&C-Server des Angreifers abgleicht. Wenn der Schlüssel erfolgreich eingegeben wird, gibt der Server ein Token zurück, das für die erfolgreiche Kommunikation zwischen der Bahamut-Spyware und dem C&C-Server erforderlich ist. Wenn der Schlüssel nicht korrekt ist, werden weder die Bahamut-Spyware noch die VPN-Funktionalität aktiviert. Leider wird die Spyware ohne den Aktivierungsschlüssel somit von dynamischen Malware-Analyse-Sandboxen möglicherweise nicht als bösartige Anwendung erkannt.

In Abbildung 8 sehen Sie eine erste Aktivierungsschlüsselanforderung und in Abbildung 9 den Netzwerkverkehr hinter einer solchen Anforderung und die Antwort des C&C-Servers.

Abbildung 8. Gefälschter SecureVPN-Aktivierungsschlüssel vor Aktivierung der VPN- und Spyware-Funktionen

Abbildung 9. Gefälschte SecureVPN-Aktivierungsanfrage und die Antwort des C&C-Servers

Die Kampagnen, die die gefälschte SecureVPN-App verwenden, versuchen, sich unauffällig zu verhalten, da die Website-URL höchstwahrscheinlich an potenzielle Opfer mit einem Aktivierungsschlüssel übermittelt wird, der auf der Website nicht angegeben ist. Leider war es uns nicht möglich, einen funktionierenden Schlüssel zu erhalten.

Der Aktivierungsschlüssel-Layer gehört nicht zur ursprünglichen OpenVPN-Funktionalität, und wir erkennen ihn nicht als Code einer anderen legitimen Anwendung. Wir glauben, dass er von Bahamut entwickelt wurde, da er auch mit deren C&C-Server kommuniziert.

Die Implementierung einer Schicht, die verhindert, dass eine Payload direkt nach dem Start auf einem nicht "anvisierten" Benutzergerät oder während einer Analyse ausgelöst wird, ist keine einzigartige Funktion. Wir haben bereits gesehen, dass ein ähnlicher Schutz in einer anderen Kampagne der Bahamut-Gruppe verwendet wurde, die in der von CoreSec360 analysierten SecureChat-App implementiert war. Dies erforderte einen zusätzlichen Aufwand für das Opfer, das ein Konto erstellen und sich bei diesem anmelden musste, wodurch die Spyware-Funktionalität von Bahamut aktiviert wurde. Wir haben auch beobachtet, dass APT-C-23 einen vergleichbaren Schutz verwendet, bei dem das potenzielle Opfer einen gültigen Coupon-Code benötigt, um die bösartige App herunterzuladen.

Funktionalität

Wenn die Bahamut-Spyware aktiviert ist, kann sie von Bahamut-Betreibern ferngesteuert werden und verschiedene sensible Gerätedaten wie z. B. die folgenden stehlen:

  • Kontakte,
  • SMS Nachrichten,
  • Anrufverläufe,
  • Liste installierter Apps,
  • Gerätestandort,
  • Benutzerkonten,
  • Geräteinformationen (Art der Internetverbindung, IMEI, IP, SIM Seriennummer),
  • aufgezeichnete Telefonate,
  • Liste von Dateien auf externen Speicherorten (SD Karte).

Durch den Missbrauch von Bedienungshilfen, wie in Abbildung 10 zu sehen, kann die Malware Notizen aus der SafeNotes-Anwendung stehlen und aktiv Chat-Nachrichten und Informationen über Anrufe aus beliebten Messaging-Apps wie z. B. ausspionieren:

  • imo-International Calls & Chat,
  • Facebook Messenger,
  • Viber,
  • Signal Private Messenger,
  • WhatsApp,
  • Telegram,
  • WeChat,
  • Conion

Abbildung 10. Gefälschte SecureVPN-Anfrage zur manuellen Aktivierung von Bedienungshilfen

Alle gestohlenen Daten werden in einer lokalen Datenbank gespeichert und dann an den C&C-Server gesendet. Die Bahamut-Spyware-Funktionalität umfasst die Möglichkeit, die App zu aktualisieren, indem ein Link zu einer neuen Version vom C&C-Server empfangen wird.

Fazit

Die von der Bahamut APT-Gruppe betriebene mobile Kampagne ist nach wie vor aktiv. Sie verwendet dieselbe Methode zur Verbreitung ihrer Android-Spyware-Apps über Websites, die sich als legitime Dienste ausgeben oder tarnen, wie es in der Vergangenheit der Fall war. Darüber hinaus ist der Spyware-Code und damit auch seine Funktionalität die gleiche wie in früheren Kampagnen, einschließlich der Sammlung von Daten, die in einer lokalen Datenbank gestohlen werden sollen, bevor sie an den Server des Betreibers gesendet werden - eine Taktik, die bei mobilen Cyberspionage-Apps eher selten zu sehen ist.

Es scheint, dass diese Kampagne versucht, weiter möglichst "unter dem Radar zu fliegen", da wir keine Fälle in unseren Telemetriedaten sehen. Dies wird wahrscheinlich durch eine sehr gezielte Verbreitung erreicht, bei der das potenzielle Opfer neben einem Link zur Bahamut-Spyware auch einen Aktivierungsschlüssel erhält, der erforderlich ist, um die Spionagefunktionen der Malware zu aktivieren.

IoCs

Dateien

SHA-1 Package name ESET detection name Description
3144B187EDF4309263FF0BCFD02C6542704145B1 com.openvpn.secure Android/Spy.Bahamut.M OpenVPN app repackaged with Bahamut spyware code.
2FBDC11613A065AFBBF36A66E8F17C0D802F8347 com.openvpn.secure Android/Spy.Bahamut.M OpenVPN app repackaged with Bahamut spyware code.
2E40F7FD49FA8538879F90A85300247FBF2F8F67 com.secure.vpn Android/Spy.Bahamut.M SoftVPN app repackaged with Bahamut spyware code.
1A9371B8AEAD5BA7D309AEBE4BFFB86B23E38229 com.secure.vpn Android/Spy.Bahamut.M SoftVPN app repackaged with Bahamut spyware code.
976CC12B71805F4E8E49DCA232E95E00432C1778 com.secure.vpn Android/Spy.Bahamut.M SoftVPN app repackaged with Bahamut spyware code.
B54FFF5A7F0A279040A4499D5AABCE41EA1840FB com.secure.vpn Android/Spy.Bahamut.M SoftVPN app repackaged with Bahamut spyware code.
C74B006BADBB3844843609DD5811AB2CEF16D63B com.secure.vpn Android/Spy.Bahamut.M SoftVPN app repackaged with Bahamut spyware code.
4F05482E93825E6A40AF3DFE45F6226A044D8635 com.openvpn.secure Android/Spy.Bahamut.M OpenVPN app repackaged with Bahamut spyware code.
79BD0BDFDC3645531C6285C3EB7C24CD0D6B0FAF com.openvpn.secure Android/Spy.Bahamut.M OpenVPN app repackaged with Bahamut spyware code.
7C49C8A34D1D032606A5E9CDDEBB33AAC86CE4A6 com.openvpn.secure Android/Spy.Bahamut.M OpenVPN app repackaged with Bahamut spyware code.

Netzwerk

IP Domain First seen Details
104.21.10[.]79 ft8hua063okwfdcu21pw[.]de 2022-03-20 C&C server
172.67.185[.]54 thesecurevpn[.]com 2022-02-23 Distribution website

MITRE ATT&CK techniques

This table was built using version 11 of the ATT&CK framework.

Tactic ID Name Description
Persistence T1398 Boot or Logon Initialization Scripts Bahamut spyware receives the BOOT_COMPLETED broadcast intent to activate at device startup.
T1624 Event Triggered Execution Bahamut spyware uses Observers to be informed about changes in SMS, contacts, and calls.
Defense Evasion T1627 Execution Guardrails Bahamut spyware won’t run unless a valid activation key is provided at app startup.
Discovery T1420 File and Directory Discovery Bahamut spyware can list available files on external storage.
T1418 Software Discovery Bahamut spyware can obtain a list of installed applications.
T1426 System Information Discovery Bahamut spyware can extract information about the device including type of internet connection, IMEI, IP address, and SIM serial number.
Collection T1417.001 Input Capture: Keylogging Bahamut spyware logs keystrokes in chat messages and call information from targeted apps.
T1430 Location Tracking Bahamut spyware tracks device location.
T1429 Audio Capture Bahamut spyware can record phone calls.
T1532 Archive Collected Data Bahamut spyware stores collected data in a database prior to exfiltration.
T1636.002 Protected User Data: Call Logs Bahamut spyware can extract call logs.
T1636.003 Protected User Data: Contact List Bahamut spyware can extract the contact list.
T1636.004 Protected User Data: SMS Messages Bahamut spyware can extract SMS messages.
Command and Control T1437.001 Application Layer Protocol: Web Protocols Bahamut spyware uses HTTPS to communicate with its C&C server.
Exfiltration T1646 Exfiltration Over C2 Channel Bahamut spyware exfiltrates stolen data over its C&C channel.

Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!