С января 2022 года группа хакеров нацелилась на пользователей Android-смартфонов через поддельный VPN — SecureVPN.
Согласно данным, приложение, использованное в рамках этой вредоносной кампании, представляло собой троянскую версию одного из двух легитимных VPN-приложений: SoftVPN или OpenVPN. В обоих случаях приложения были переупакованы со шпионским кодом Bahamut.
Удалось идентифицировать как минимум восемь версий этих вредоносных исправлений с изменениями кода и обновлениями, доступными через веб-сайт распространителя, что может означать, что кампания хорошо поддерживается.
Основной целью модификаций приложения была эксфильтрация конфиденциальных данных и слежка за приложениями для обмена сообщениями жертв.
В частности, поддельные приложения SecureVPN для Android могут извлекать конфиденциальные данные, такие как SMS-сообщения, контакты, журналы вызовов, местоположение устройства и записанные телефонные звонки.
Они также позволили отслеживать сообщения чата в нескольких приложениях для обмена сообщениями, включая WhatsApp, Viber, Telegram и Facebook Messenger.
Предположительно, Bahamut — группа хакеров стоящая за этой вредоносной компанией. Они специализируется на кибершпионаже, их цель — украсть конфиденциальную информацию у своих жертв.