Эксперты ИБ из Cisco Talos сообщили, что шпионская кампания с использованием зловредных MDM-платформ, обнаруженная в начале июля, может оказаться масштабнее, чем предполагалось ранее. Исследователи выявили третий по счету C2-сервер, который злоумышленники задействовали с января по март 2018 года.

На этой платформе зарегистрировались пользователи двух устройств, находящихся в Индии, и одного телефона из Катара с британским номером. Кроме того, эксперты обнаружили вредоносный сервис, нацеленный на гаджеты с операционной системой Windows, обращающийся к тому же C2-серверу, что и MDM. Ранее ИБ-специалисты говорили о компрометации лишь 13 зарегистрированных в Индии iPhone.

Выявленные платформы используются преступниками для загрузки на целевые устройства скомпрометированных версий мессенджеров Telegram, WhatsApp и IMO. Однако теперь помимо индийцев под угрозой оказались граждане Катара.

Внедренный в легитимные сервисы бэкдор позволяет устанавливать на смартфон жертвы пять вредоносных приложений. Первые два оценивали характеристики телефона, одно было нацелено на кражу SMS-сообщений, а оставшиеся определяли местоположение и собирали другие данные, например изображения. Вся похищенная информация передавалась на контролируемый преступниками командный сервер.

Еще один троян был замаскирован под браузер Safari. На этот раз злоумышленники не стали внедрять бэкдор в легитимное приложение, а самостоятельно разработали его вредоносную копию.

Во время запуска программа передавала нападавшим идентификатор устройства UUID. Получив ответ от сервера, зловред собирал информацию о логинах и паролях жертвы в почтовых сервисах, поисковиках и интернет-магазинах. Помимо этого, фальшивый браузер похищал контактную информацию пользователя и куки посещаемых сайтов.

Анализ исходного кода MDM-площадки и вредоносных программ позволяет связать ее с группировкой Bahamut, ранее заражавшей телефоны в Индии. Специалисты считают, что преступники проводят целевые атаки для слежки за определенными людьми по политическими или экономическим мотивам с 2015 года.

Эксперты отметили схожесть атак Bahamut с кампанией, обнаруженной в 2016 году «Лабораторией Касперского». Распространенная в Индии программа для редакторских и издательских задач имела уязвимость нулевого дня InPage. После того как эксплойтом завладели злоумышленники, они провели серию атак на банки и правительственные учреждения ряда азиатских стран.

Категории: Аналитика, Хакеры