Hackers modify popular OpenVPN Android app to include spyware
2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先/通話データ/デバイスの位置情報/メッセージなどの窃取を目的としているとのことだ。
VPN サービスのなりすまし
この作戦は、Bahamut として追跡されている、高度な脅威アクターによるものとされている。同グループは、ハッキング・サービスを提供する、傭兵グループと考えられている。
ESET の Malware Analyst である Lukas Stefanko によると、Bahamut は Android 向けの SoftVPN/OpenVPN アプリを再パッケージ化し、スパイ機能を持つ悪質なコードを取り込んでいたという。それにより Bahamut は、被害者に VPN 機能を提供しながら、モバイルデバイスから機密情報を取得することができる。
Bahamut は、自らの活動を隠蔽し、信頼性を高めるために、正規の VPN サービスである SecureVPN という名前を使い、偽の Web サイト thesecurevpn を作成して、悪質なアプリを配布している。
source: ESET
Stefanko によると、ハッカーの不正 VPN アプリは、連絡先/通話ログ/位置情報の詳細/SMS などを盗みだし、また、Signal/Viber/WhatsApp/Telegram/Facebook の Messenger などのメッセージ・アプリのチャットを傍受し、さらに外部ストレージのファイルのリストを収集することができるという。
ESET の研究者は、Bahamut のスパイ VPN アプリの8つのバージョンを発見したが、いずれも時系列でバージョン番号が付けられており、活発な開発が行われていると示唆している。
偽アプリの全てのバージョンには、サイバーセキュリティ企業の Cyble や CoreSec360 などが記録した SecureChat キャンペーンなど、Bahamut に起因する過去のオペレーションでのみ観測されたコードが含まれていた [1, 2]。
source: ESET
この、トロイの木馬化された VPN の全バージョンについて言えることだが、Android リソースの公式リポジトリである Google Play では、どれも提供されていない。この点からも、このオペレーションが標的型攻撃であることがわかる。
最初の配布ベクターは不明だが、Eメール/SNS などの通信チャネルを介したフィッシングなど、あらゆる可能性が考えられる。
2017年に調査を実施した Bellingcat のジャーナリストたちによると、中東の人権活動家を標的としたスパイ行為に関する記事で、Bahamut のオペレーションに関する詳細が公表されている。
Bahamut が、オープンなツールに大きく依存し、常に戦術を変更し、不特定の地域にターゲットを持つことを考えると、他の脅威アクターと結びつけることは至難の業だろう。
しかし BlackBerry の研究者たちは、2020年の Bahamut に関する詳細レポートの中で、同グループについて「十分な資金とリソースを有しているだけでなく、セキュリティ・リサーチとアナリストたちの能力とも言える、認知バイアスにも精通しているようだ」と指摘している。
Bahamut が関与している脅威グループには、Windshift/Urpage などがある。
中国/ロシア/イラン/スリランカなどの強権政府に対抗する民衆は、VPN で保護された回線を用いて、Twitter などの SNS を使っているようです。いま、中国では、行き過ぎたコロナ対策を巡って、全土で抗議デモが活発に行われていますが、そのための連絡網などに、VPN が利用されているという報道もあります。そうなると、政権側が VPN のハッキングに躍起になるのは当然と言えるでしょう。以下のチャートが、いまの是会を端的に表していると思えます。
テクノロジーによる民主化の、最前線で戦っているのが VPN なのです。よろしければ、VPN + Spyware で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.