巴哈姆特网络犯罪集团以假的VPN应用为目标锁定安卓用户

同时，我们在Twitter上通过@malwrhunterteam的DM收到了关于同一样本的通知。

这次活动中使用的恶意安卓应用程序是通过网站thesecurevpncom（见图1）传递的，该网站使用了合法的SecureVPN服务（在域名securevpn.com）的名称--但没有任何内容或风格。

（图1。伪造的SecureVPN网站提供了一个木马程序的下载）

这个假冒的SecureVPN网站是根据一个免费的网页模板创建的（见图2），它很可能被威胁者用作灵感来源，因为它只需要小的改动，而且看起来很可信。

（图2）

thesecurevpncom是在2022-01-27注册的；然而，假的SecureVPN应用的最初分发时间是未知的。恶意应用程序是由网站直接提供的，在Google Play商店中从未出现过。

归属问题

假的SecureVPN样本中的恶意代码在Cyble和CoreSec360记录的SecureChat活动中看到。我们看到这段代码只在Bahamut进行的活动中使用；与这些活动的相似之处包括在将敏感信息上传到C&C服务器之前将其存储在本地数据库。这些数据库中存储的数据量可能取决于活动的情况。在图3中，你可以看到这个变种的恶意包类与以前的Bahamut代码样本相比。

（图3）

先前的恶意SecureChat包（左）和假的SecureVPN包（右）的类名比较

对比图4和图5，你可以看到早期的SecureChat恶意软件（归属Bahamut）和假冒的SecureVPN恶意软件的SQL查询有相似之处。

（图4。早期SecureChat活动的恶意代码中使用的SQL查询）

（图5。伪造的SecureVPN活动中的恶意代码所使用的SQL查询）

因此，我们认为假冒的SecureVPN应用程序与Bahamut集团有关。

分析报告

自发行网站上线以来，至少有八个版本的巴哈姆特间谍软件可供下载。这些版本是由威胁行为者创建的，其中假的应用程序名称后面是版本号。我们能够从服务器上调出以下版本，我们相信过去提供给潜在受害者的是版本后缀最低的版本，而最近则使用了更高的版本号。

（secureVPN_104.apk,SecureVPN_105.apk,SecureVPN_106.apk,SecureVPN_107.apk,SecureVPN_108.apk,SecureVPN_109.apk,SecureVPN_1010.apk, secureVPN_1010b.apk）

我们将这些版本分为两个分支，因为Bahamut的恶意代码被放置在两个不同的合法VPN应用程序中。

在第一个分支中，从版本secureVPN_104到secureVPN_108，恶意代码被插入合法的SoftVPN应用程序中，可以在Google Play上找到，并使用独特的包名com.secure.vpn。如图6所示，在第一个伪造的SecureVPN应用程序分支的反编译源代码中发现的版本信息中的PARENT_APPLICATION_ID值也可以看到这个软件包名称。

（图6。假的SecureVPN v1.0.4，

其恶意代码包含在SoftVPN中作为父应用程序）

在第二个分支中，从版本secureVPN_109到secureVPN_1010b，恶意代码被插入到合法的开源应用程序OpenVPN中，该应用程序在Google Play上可以找到，它使用独特的包名com.openvpn.secure。与木马化的SoftVPN分支一样，原始应用程序的包名也可以在伪造的SecureVPN应用程序的版本信息中看到，这些信息在反编译的源代码中发现，如图7所示。

（图7。假的SecureVPN v1.0.9 (SecureVPN_109)）

其恶意代码包含在OpenVPN中作为其父级程序，即使硬编码的VERSION_NAME（1.0.0）在不同版本之间没有改变。

除了这两个分支的分裂，即相同的恶意代码被植入两个不同的VPN应用程序，其他假冒的SecureVPN版本更新只包含微小的代码变化或修复，考虑到它的整体功能，没有任何重大意义。

威胁者从修补SoftVPN转向OpenVPN作为其父级应用的原因尚不清楚；然而，我们怀疑原因可能是合法的SoftVPN应用停止工作或被维护，不再能够创建VPN连接--正如我们对来自Google Play的最新SoftVPN应用的测试所证实的。这可能是巴哈姆特改用OpenVPN的一个原因，因为潜在的受害者可能会从他们的设备上卸载一个不工作的VPN应用。将一个母体应用换成另一个，可能需要更多的时间、资源和努力，才能由威胁行为者成功实施。

与OpenVPN应用一起打包的恶意代码在VPN代码之上实现了一层。该恶意代码实现了间谍软件功能，要求激活密钥，然后根据攻击者的C&C服务器检查提供的密钥。如果密钥被成功输入，服务器将返回一个令牌，这是Bahamut间谍软件和其C&C服务器之间成功通信所必需的。如果密钥不正确，Bahamut间谍软件和VPN功能都不会被启用。不幸的是，如果没有激活密钥，动态恶意软件分析沙箱可能不会将其标记为恶意应用程序。

在图8中，你可以看到一个最初的激活密钥请求，在图9中可以看到这种请求背后的网络流量和C&C服务器的响应。

（图8。假的SecureVPN在启用VPN和间谍软件功能前要求激活密钥）

（图9。假的SecureVPN激活请求和其C&C服务器的回应）

使用假冒SecureVPN应用程序的活动试图保持低调，因为网站的URL很可能是通过激活密钥传递给潜在的受害者，而网站上并没有提供这种密钥。不幸的是，我们无法获得一个有效的密钥。

激活密钥层不属于原始的OpenVPN功能，我们不承认它是来自任何其他合法应用程序的代码。我们相信它是由Bahamut开发的，因为它也与他们的C&C服务器进行通信。

实施一层保护有效载荷在非目标用户设备上启动后立即被触发，或在被分析时被触发并不是一个独特的功能。我们已经看到巴哈姆特集团在另一个活动中使用了类似的保护，该活动在CoreSec360分析的SecureChat应用程序中实施。这需要受害者做出额外的努力，他们必须创建一个账户并登录，然后启用Bahamut间谍软件的功能。我们还观察到APT-C-23正在使用类似的保护，潜在受害者需要一个有效的优惠券代码来下载恶意应用程序。

功能

如果Bahamut间谍软件被启用，那么它可以被Bahamut操作员远程控制，并可以渗出各种敏感的设备数据，如：

联系、短信、通话记录、已安装的应用程序的列表、设备位置、设备账户、设备信息（互联网连接类型、IMEI、IP、SIM序列号）、通话记录，以及外部存储器上的文件列表。

通过滥用可访问性服务，如图10所示，恶意软件可以从SafeNotes应用程序中窃取笔记，并主动监视聊天信息和来自流行的消息应用程序的通话信息，如：

imo-国际电话和聊天、脸书信使、Viber、信号私人信使、WhatsApp、电报、微信，以及Conion应用程序

（图10。伪造的SecureVPN请求手动启用可访问性服务）

所有渗出的数据都存储在本地数据库中，然后发送到C&C服务器。巴哈姆特间谍软件的功能包括通过接收来自C&C服务器的新版本链接来更新该应用程序的能力。

总结

由Bahamut APT集团操作的移动活动仍然活跃；它使用相同的方法，通过冒充或伪装成合法服务的网站分发其安卓间谍软件应用程序，这在过去已经看到过。此外，间谍软件的代码，以及它的功能，与以前的活动相同，包括在将数据发送到运营商的服务器之前，在本地数据库中收集要渗出的数据，这种策略在移动网络间谍应用程序中很少见。

看来这个活动一直保持着低调，因为我们在遥测数据中没有看到任何实例。这可能是通过高度有针对性的分发来实现的，在那里，潜在的受害者与Bahamut间谍软件的链接一起被提供一个激活密钥，这是启用恶意软件的间谍功能所需要的。

IoCs文件

网络

MITRE ATT&CK技术

本表是使用ATT&CK框架的第11版建立的。

这里是保贝狗个人信息保护今日的分享，保贝狗，永远捍卫个人隐私的权利。