ESET a révélé qu'il existe plusieurs faux VPN sur Internet qui volent des données depuis les smartphones, comme les informations bancaires. Ceux-ci sont distribués par des pirates informatiques du groupe Bahamut et affectent Android utilisateurs d'un site Web qu'ils ont créé expressément pour attirer de nouvelles victimes. Bien qu'ils ne se concentrent pas sur tous les utilisateurs d'Android, cela pourrait changer, il vaut donc la peine de prendre des précautions extrêmes.
Son mode opératoire consiste à usurper SecureVPN, SoftVPN et OpenVPN clients mobiles sous des applications qui ont Logiciel espion Bahamut. Lorsque l'une de ces applications est installée sur les smartphones de ses victimes, le malware accède à leurs appels, SMS, géolocalisation et autres informations pertinentes, y compris les coordonnées bancaires.
Ils se déguisent sous de faux services VPN et vous espionnent
SET a pu identifier au moins 8 versions de ces applications infectées par des logiciels malveillants avec les changements de code et les mises à jour disponibles sur le Web qu'ils utilisent pour leur distribution. Si le logiciel espion Bahamut est activé, les opérateurs Bahamut peuvent le contrôler à distance et divulguer diverses données sensibles de l'appareil, comme nous l'avons dit ci-dessus.
Faux VPN applications ne sont pas sur le Google Play magasin d'applications. Afin d'augmenter leur portée, les pirates ont créé un faux site Web SecureVPN de distribuer leurs applications malveillantes pour attirer de nouvelles victimes.
Bien sûr, ni le Web ni les applications n'ont rien à voir avec le service SecureVPN original et fiable. Si vous regardez, le le site Web d'origine est securevpn.com lorsque le faux utilise le nom 'thesecurevpn' pour inciter à la tromperie. Ils pourraient créer de nouveaux sites Web plus tard ou il y en a d'autres qui n'ont pas été découverts.
ESET considère qu'il s'agit d'un solution sur mesure pour certaines victimes et pas pour tous indistinctement. Les victimes de l'attaque doivent recevoir une clé d'activation. Le logiciel ne fonctionnera pas sur les appareils d'utilisateurs aléatoires, mais cible initialement des personnes spécifiques. Ce qu'ils recherchent, c'est obtenir des données utilisateur confidentielles et espionner des applications de messagerie telles que Telegram, WhatsApp, Signal, Viber et Facebook Messenger.
Comme l'a déclaré le chercheur d'ESET, Lukas Stefanko, l'exfiltration des données se fait via le fonctionnalité d'enregistrement de frappe des logiciels malveillants , qui abuse des services d'accessibilité. Toutes les données extraites sont stockées dans une base de données locale et ensuite envoyées au serveur de commande et de contrôle (C&C). De plus, l'application peut être mise à jour en recevant un lien vers une nouvelle version du serveur C&C.
N'installez pas d'applications à partir de sites non fiables
Bien que dans ce cas, le moyen d'être infecté consiste à accéder à ce site Web et à télécharger l'une des applications infectées, il convient de prendre des précautions extrêmes lors de l'utilisation de votre mobile. C'est important ne pas télécharger d'applications à partir de sources non fiables puisque votre mobile peut être infecté par un cheval de Troie, un virus ou un mineur avec les conséquences que cela a, même si parfois vous ne savez même pas que vos données ou votre mobile sont en danger.
Si vous allez installer un service VPN pour « changer de région », préserver votre vie privée ou toute autre utilisation habituellement réservée à ce type de service, vérifier que le domaine est le domaine officiel de le service et ne l'installez pas à partir d'un autre site. Si vous n'avez pas une sécurité totale, n'installez rien. De plus, il est bon que vous ayez un antivirus sur votre mobile et vérifiez que vous n'installez rien qui pourrait vous nuire. Si tel est le cas, désinstallez immédiatement l'application malveillante pour l'empêcher de vous affecter davantage.
