บริษัท ESET ผู้ผลิตซอฟต์แวร์ AntiVirus ระบุว่าผู้ใช้โทรศัพท์มือถือระบบปฏิบัติการ Android ในภูมิภาคตะวันออกกลางและเอเชียใต้ กำลังตกเป็นเป้าหมายโจมตีของกลุ่มแฮ็กเกอร์ Bahamut ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ (state-sponsored) โดยใช้สปายแวร์ (spyware) ที่แอบอ้างเป็นแอปพลิเคชัน SecureVPN ซึ่งพบว่ามีการเผยแพร่มาตั้งแต่ ม.ค.65 รวมทั้งยังพบการแอบอ้างเป็นแอปพลิเคชัน SoftVPN และ OpenVPN ที่เป็นซอฟต์แวร์ถูกกฎหมาย
เว็บไซต์ SecureVPN ปลอม ฝังสปายแวร์ของกลุ่มแฮ็กเกอร์ Bahamut ร้องขอสิทธิ์ควบคุมอุปกรณ์จากผู้ใช้งาน
แอปพลิเคชัน VPN ฝังสปายแวร์ของกลุ่มแฮ็กเกอร์ Bahamut มีคุณสมบัติควบคุมอุปกรณ์ได้จากระยะไกล และสามารถดักรับข้อมูลผู้ติดต่อ ข้อความ SMS บันทึกการโทร ตำแหน่งอุปกรณ์ การกดแป้นพิมพ์ รวมถึงข้อความในแอปพลิเคชันสนทนา เช่น WhatsApp, Facebook Messenger, Signal, Viper และ Telegram นอกจากนี้ แอปพลิเคชัน VPN ดังกล่าวยังร้องขอรหัสเปิดใช้งาน (Activation key) ซึ่งจะเชื่อมต่ออุปกรณ์ของเหยื่อกับเครื่องแม่ข่ายของแฮ็กเกอร์ (Command & Control server—C&C) โดยส่งลิงก์เว็บไซต์และรหัสเปิดใช้งานแอปพลิเคชัน VPN ให้เหยื่ออย่างเฉพาะเจาะจง
อย่างไรก็ดี สปายแวร์จะหยุดทำงานเมื่อพบว่าเป็นอุปกรณ์ของเหยื่อที่อยู่นอกกลุ่มเป้าหมาย หรือเมื่อถูกซอฟต์แวร์ AntiVirus ตรวจสอบการทำงาน ทั้งนี้ ทีมนักวิจัยของบริษัท ESET พบว่าแอปพลิเคชันและเว็บไซต์ VPN ปลอมมีการอัปเดตอยู่เสมอ ซึ่งเป็นสิ่งบ่งชี้ว่าได้รับการบำรุงรักษาอย่างดีจากกลุ่มแฮ็กเกอร์
ที่มา : https://therecord.media/android-users-in-middle-east-south-asia-targeted-with-spyware-posing-as-fake-vpn-apps/
