lun. Déc 5th, 2022

Mais si vous souhaitez partager vos données sensibles avec les pirates, vous avez d’abord besoin d’une clé d’activation pour l’application OpenVPN.

Les attaquants proposent une application OpenVPN manipulée pour Android via un faux site Web SecureVPN à télécharger. Les logiciels espions sont cachés sous le capot et collectent des données utilisateur sensibles. Mais tout le monde n’est pas autorisé à partager ses données avec les pirates. Le logiciel malveillant nécessite une clé d’activation.

Le faux site Web SecureVPN propose des logiciels espions déguisés en OpenVPN

Logo OpenVPN

Des chercheurs en sécurité ont découvert une nouvelle campagne de logiciels malveillants du groupe APT Bahamut. Avec l’opération, qui est en cours depuis janvier 2022, les attaquants ciblent les utilisateurs d’Android intéressés par le VPN.

Via un faux site web SecureVPN au domaine «thesecurevpn[.]com” les cybercriminels proposent en téléchargement un client OpenVPN manipulé pour Android. Cependant, l’application frauduleuse n’a jamais été représentée dans le Google Play Store.

Bien que les pirates utilisent abusivement le nom de SecureVPN, le contenu et la conception du site Web frauduleux diffèrent considérablement. Ce dernier en particulier semble avoir ses origines dans un modèle de site Web gratuit basé sur Bootstrap.

L’application OpenVPN manipulée collecte des données utilisateur sensibles

Les pirates ont d’abord distribué des versions trojanisées de SoftVPN via le faux site Web. Cependant, ils sont ensuite passés à OpenVPN.

Le code malveillant que le groupe de hackers Bahamut y a installé a déjà été utilisé dans d’autres attaques par le groupe dans le passé. Les chercheurs d’ESET ont identifié au moins huit versions différentes des fausses applications.

Voir aussi  Faux avertissements sur les films érotiques en circulation

Le but des modifications apportées au client OpenVPN est de capturer des données utilisateur sensibles. Entre autres choses, le logiciel malveillant accède aux contacts, aux SMS, aux journaux d’appels, à une liste des applications installées et à l’emplacement de l’appareil. Il peut également espionner les conversations des messagers populaires comme Signal, Rakuten Viber, WhatsApp ou Telegram.

Un logiciel malveillant demande une clé d’activation

Les chercheurs en sécurité supposent que les pirates choisissent soigneusement leurs cibles. Parce que le logiciel OpenVPN manipulé nécessite apparemment une clé d’activation, que les attaquants envoient vraisemblablement directement à leurs victimes avec un lien vers le faux site Web.

Ni le client OpenVPN ni le logiciel espion intégré ne fonctionneront sans cette clé. Cela peut également être une mesure de protection, car il est peu probable que les outils d’analyse dynamique des logiciels malveillants détectent immédiatement le logiciel malveillant sans la clé d’activation. Malheureusement, les chercheurs d’ESET n’ont pas été en mesure d’obtenir une telle clé pour enquêter plus avant sur l’activité du logiciel malveillant.

On ne sait pas encore par quel canal la distribution aura lieu. Cela peut se produire, par exemple, via e-mail, applications de messagerie, SMS ou réseaux sociaux.

Étant donné que les chercheurs en sécurité n’ont pas encore été en mesure de trouver des cas d’attaque dans leurs données de télémétrie, ils supposent que les attaquants attachent une grande importance à l’utilisation de leur application OpenVPN manipulée « voler sous le radar“.