A campanha de spyware tem como objetivo principal o roubo de dados dos utilizadores, assim como a espionagem de apps de mensagem como WhatsApp, Facebook Messenger, Signal, Viber e Telegram.

Em períodos distintos, o app usado foi uma versão “trojonizada” de uma de dois apps de VPN legítimos, SoftVPN e OpenVPN. Em ambos os casos, o app foi personalizado com código de spyware do grupo Bahamut. A ESET identificou pelo menos oito versões destes apps maliciosos personalizados com mudança de código e atualizadas através de um website de distribuição, ambas características que revelam uma campanha bem organizada e que está ativa desde o início de 2022. No entanto, nenhuma dos apps maliciosos esteve alguma vez disponível para download na loja Google Play.

Os apps com spyware do grupo são distribuídos através de um website SecureVPN falso que fornece apenas apps Android “trojanizadas” para download. Este website não tem qualquer associação com o software e serviço SecureVPN legítimo e multiplataforma. O principal objetivo da campanha é o roubo de contatos, mensagens SMS, chamadas telefonicas gravadas, além de mensagens de chat a partir de aplicações de mensagem como WhatsApp, Facebook Messenger, Signal, Viber e Telegram.

Dado que a telemetria da ESET não detetou instâncias de atividade desta campanha de malware, é provável que se tratem de tentativas de infiltração altamente direcionadas. A app maliciosa solicita uma chave de ativação antes do VPN e da funcionalidade de spyware ficarem ativas. Tanto a chave de acesso como o link do website forjado são provavelmente enviados diretamente a utilizadores-alvo específicos.

Esta camada de segurança almeja proteger a carga maliciosa de ficar ativa logo após o seu envio para um dispositivo final não intencionado ou quando está a ser analisada. A investigação da ESET detetou um método de proteção semelhante noutra campanha do grupo Bahamut.

Todos os dados desviados são armazenados numa base de dados local e depois são remetidos para o servidor Command and Control (C&C). A funcionalidade de spyware do grupo inclui a capacidade de atualizar a app maliciosa ao receber um link para uma nova versão do servidor C&C.

O grupo malicioso Bahamut usa tipicamente mensagens de spearphishing e aplicações falsas como vetor de ataque inicial contra entidades e indivíduos no Médio Oriente e Ásia do Sul. No caso desta campanha, o vetor de distribuição inicial ainda não é conhecido. O Bahamut especializa-se em ciberespionagem e é referenciado como um grupo de mercenários com serviços de acesso não autorizado a soldo para vários clientes.