Les cybermercenaires Bahamut ciblent les utilisateurs d’Android avec un faux VPN gratuit

Le groupe Bahamut a lancé en janvier 2022 un faux VPN gratuit dans le but d’extraire les contacts, les SMS, des appels téléphoniques enregistrés et même des messages de discussion à partir d’applications telles que Signal, Viber et Telegram. Il se nomme The Secure VPN et il cible exclusivement les utilisateurs d’Android.

De quoi s’agit il exactement ?

Ce sont des chercheurs d’ESET qui ont identifié cette fraude ciblant les utilisateurs d’Android, menée par le groupe APT Bahamut. Ce groupe propose une application de VPN gratuit Android à télécharger.

Attention ! : Notez que bien que cette application malveillante utilise le nom The SecureVPN, il n’a aucun lien avec le logiciel et le service SecureVPN légitime et multiplateforme.

Un faux VPN gratuit pour Android

L’application dont il est question est une version trojanisée d’une des deux applications VPN légitimes, SoftVPN ou OpenVPN, et ont été reconditionnées avec un code malveillant dont Bahamut a le secret.

Eset a été en mesure d‘identifier au moins 8 versions de ces applications malicieuses patchées, avec des modifications de code et des mises à jour disponibles sur le site Web de distribution, ce qui laisse à penser que l’action se veut pérenne.

Voici une capture d’écran du site de distribution du faux VPN Android. Il n’y a que 2 pages, la home et une politique de confidentialité copiée/collée à la va vite.

L’objectif principal de ces modifications d’applications est d’extraire les données sensibles des utilisateurs et d’espionner activement les applications de messagerie des victimes.
Eset estime raisonnablement que les cibles sont soigneusement choisies, car une fois que le logiciel espion conçu par Bahamut est lancé, il demande une clé d’activation avant de pouvoir activer les fonctionnalités du réseau privé virtuel et du logiciel espion. La clé d’activation et le lien vers le site Web sont probablement envoyés aux utilisateurs ciblés.

Le vecteur de distribution initial est, à ce jour, encore inconnu. (e-mail, médias sociaux, applications de messagerie, SMS, etc.)

Qui est Bahamut ?

Le groupe APT Bahamut cible généralement des entités et des individus au Moyen-Orient et en Asie du Sud avec des messages de spearphishing et de fausses applications comme vecteur d’attaque initial. Bahamut est spécialisé dans le cyberespionnage, et le vol de données. Ce groupe est également considéré comme un groupe de mercenaires offrant des services de piratage à la demande à un large éventail de clients.

Leur réputation s’est construite sur le fait qu’ils semblent être passé maître dans l’art du phishing et de l’ingénierie sociale.

Le groupe a fait l’objet de plusieurs publications d’alertes ces dernières années, notamment :

2018 – Trend Micro
2020 – BlackBerry [pdf] (en anglais)
2020 – SonicWall
2022 – Cyble

Pour ne citer que ceux là, ce groupe est particulièrement actif dans tous les domaines de la cybercriminalité.

Pour conclure

Ne vous précipitez jamais sur le premier VPN sans inscription que vous trouvez dans l’espoir d’aller vite. Vous pourriez perdre bien plus que les 2 minutes de recherche pour vérifier si le réseau privé virtuel qui vous intéresse est fiable et digne de confiance. Orientez-vous plutôt vers des solutions Open Source comme ProtonVPN par exemple.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe de VPN Mon Ami recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.