Tecnología

Grupo cibercriminal apunta a usuarios de Android con falsas apps de VPN

Publicado

Hace 3 años

28 diciembre, 2022

Por

Gabriela Suniaga

El equipo de investigación de ESET, advierte sobre un grupo cibercriminal que apunta a usuarios de Android con falsas apps de VPN.

La compañía líder en detección proactiva de amenazas, identificó una campaña en curso dirigida a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.

Esta campaña ha estado activa desde enero de 2022 distribuyendo aplicaciones maliciosas a través de un sitio web falso de SecureVPN que ofrece descargas apps de Android.

Aunque el malware empleado a lo largo de esta campaña utiliza el nombre SecureVPN, no tiene asociación alguna con el servicio y el software multiplataforma legítimo SecureVPN.

Hallazgos clave de ESET:

El objetivo principal de las modificaciones realizadas a la aplicación es extraer datos confidenciales de la víctima y espiar activamente las aplicaciones de mensajería que utiliza.

Se cree que los objetivos apuntados por los actores maliciosos son elegidos cuidadosamente, ya que una vez que se inicia el spyware Bahamut, solicita una clave de activación antes de que se pueda habilitar la funcionalidad de VPN y spyware.

Es probable que tanto la clave de activación como el enlace del sitio web se envíen a usuarios específicos.
Se desconoce el vector de distribución inicial (correo electrónico, redes sociales, aplicaciones de mensajería, SMS, etc.).

La aplicación utilizada son versiones troyanizadas de dos apps de VPN legítimas, SoftVPN u OpenVPN, que se volvieron a empaquetar con el código del spyware Bahamut, el cual fue utilizado en el pasado por el grupo Bahamut.

ESET identificó al menos ocho versiones de estas aplicaciones parcheadas maliciosamente con cambios de código y actualizaciones disponibles a través del sitio web de distribución, lo que podría significar que la campaña recibe mantenimiento.

El equipo de investigación de ESET descubrió al menos ocho versiones del spyware Bahamut.

El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN.

Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.

El malware tiene la capacidad de exfiltrar datos confidenciales del equipo de la víctima, como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas.

También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería muy populares, como Signal, Viber, WhatsApp, Telegram y Facebook Messenger.

La exfiltración de datos se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad.

El grupo de APT Bahamut generalmente apunta a entidades e individuos ubicados en Medio Oriente y en el sur de Asia a utilizando como vector de ataque mensajes de phishing y aplicaciones falsas.

Bahamut se especializa en ciberespionaje, y el equipo de ESET cree que su objetivo es robar información sensible de sus víctimas

Bahamut también se conoce como un grupo de mercenarios que ofrece servicios de piratería a sueldo a una amplia gama de clientes.

La aplicación maliciosa para Android que fue utilizada en esta campaña se distribuyó a través del sitio web thesecurevpn[.]com, que utiliza el nombre, pero no el contenido ni el estilo del servicio SecureVPN legítimo (en el dominio securevpn.com).

El falso sitio web de SecureVPN ofrece para su descarga una aplicación troyanizada.

Este falso sitio web que se hace pasar por SecureVPN se creó en base a una plantilla web gratuita, que probablemente fue utilizada por el actor de amenazas como inspiración, ya que solo requirió pequeños cambios y parece confiable.

Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN.

Thesecurevpn[.]com se registró el 27 de enero de 2022; sin embargo, se desconoce el momento de la distribución inicial de la falsa versión de la aplicación de SecureVPN. La aplicación maliciosa se proporciona directamente desde el sitio web y no ha estado disponible en la tienda Google Play.

“La campaña dirigida a dispositivos móviles operada por el grupo de APT Bahamut sigue en curso y utiliza el mismo método para distribuir sus aplicaciones de spyware para Android: a través de sitios web que se hacen pasar por servicios legítimos, como se ha visto en el pasado».

«Además, el código del spyware y, por lo tanto, su funcionalidad, es la misma que en campañas anteriores, incluida la capacidad de recopilar datos para exfiltrarlos en una base de datos local antes de enviarlos al servidor de los atacantes, una táctica que rara vez se ve en las aplicaciones móviles para ciberespionaje”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Si el spyware Bahamut es habilitado, los operadores de Bahamut pueden controlarlo de forma remota y exfiltrar varios datos confidenciales del dispositivo, como:

contactos,
mensajes SMS,
registros de llamadas,
una lista de aplicaciones instaladas,
ubicación del dispositivo,
cuentas de dispositivo,
información del dispositivo (tipo de conexión a Internet, IMEI, IP, número de serie de SIM),
llamadas telefónicas grabadas y
una lista de los archivos en el almacenamiento externo.

Al abusar del servicio de accesibilidad, el malware puede robar notas de la aplicación SafeNotes y espiar activamente los mensajes de chat e información sobre llamadas en aplicaciones de mensajería muy populares, como:

· imo-International Calls & Chat,

· Facebook Messenger,

· Viber,

· Signal Private Messenger,

· WhatsApp,

· Telegram,

· WeChat, y

· Conion.

Solicitud falsa de SecureVPN para habilitar manualmente los servicios de accesibilidad.

Todos los datos extraídos se almacenan en una base de datos local y luego se envían al servidor de C&C del atacante. La funcionalidad del spyware Bahamut incluye la capacidad de actualizar la aplicación mediante un enlace con una nueva versión del servidor C&C.

“Parece que esta campaña ha mantenido un perfil bajo, ya que no vemos instancias en nuestros datos de telemetría. Esto probablemente se logra a través de una distribución altamente dirigida, donde junto con un enlace al spyware Bahamut, la potencial víctima recibe una clave de activación, que es necesaria para habilitar la capacidad de espionaje del malware.”, concluye el investigador de ESET.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/11/24/grupo-cibercriminal-bahamut-apunta-usuarios-android-falsas-apps-vpn/

Nota de prensa

No dejes de leer

¿Cómo lograr que las baterías de los centros de datos tengan una mayor vida útil?

Infórmate al instante, únete a nuestro canal de Telegram NoticiasACN

Movistar anunció la llegada de eSIM y la venta de equipos móviles en sus Centros de Servicio

Designado nuevo presidente para Samsung Centroamérica y el Caribe

Tecnología

Educación moderna: colegio ítalo‑venezolano adopta tecnología pionera de IA

Publicado

6 días ago

29 mayo, 2026

Gabriela Suniaga

El Colegio Simón Bolívar y Giuseppe Garibaldi, con 72 años de historia ítalo‑venezolana, acaba de tomar una de las decisiones más trascendentales de su trayectoria: integrar inteligencia artificial a su operación cotidiana y convertirse en una de las primeras instituciones educativas del país en desarrollar un sistema propio, seguro y completamente adaptado a las necesidades reales de su comunidad.

Fundado en 1954 por inmigrantes italianos que apostaron por la educación como vía de arraigo, el colegio ha sido durante tres generaciones patrimonio de la familia Milazzo Scopazzo, una institución guiada por convicciones y no por tendencias pasajeras.

Esa misma filosofía impulsó este año la creación del Sistema de Comunicación Escolar Inteligente, una plataforma institucional diseñada desde cero para resolver los desafíos diarios de familias, docentes y estudiantes.

Tres capas, un mismo propósito: información clara, segura y disponible

1. Comunicación oficial por niveles y secciones

La plataforma organiza grupos verificados por membresía, donde docentes y directivos publican tareas, materiales y comunicados directamente a los representantes.

Horarios protegidos:
- Representantes: lunes a viernes, 8:00 a.m. – 2:00 p.m.
- Estudiantes de Bachillerato: 1:00 p.m. – 4:00 p.m.
Protección al docente: ningún representante puede escribir al profesor fuera del canal ni acceder a su número personal.
Cumplimiento automático: fuera del horario, el sistema no recibe mensajes.

El objetivo es claro: que la información oficial llegue a tiempo, sin depender de grupos informales donde se distorsiona o se pierde.

2. Asistente de inteligencia artificial + Mini App integrada

Operativo 24/7, el asistente responde consultas sobre:

Docentes por materia y sección
Normas, uniformes y reglamentos
Seguro escolar y emergencias
Pagos y trámites administrativos
Monto de mensualidades con tasa BCV en tiempo real

La Mini App, integrada en Telegram, permite realizar trámites sin salir del canal:

Mensualidad: monto en USD y bolívares actualizado al instante
Comprobante: envío guiado en tres pasos
Inasistencia: carga de certificado médico y selección de fecha
Citas: enrutamiento automático a la coordinación correspondiente

Todo visible, intuitivo y sin necesidad de comandos.

3. Tutor académico conversacional

La innovación más disruptiva del sistema.

Bachillerato: los estudiantes consultan directamente desde sus grupos.
Primaria: los padres plantean las dudas en nombre de sus hijos.

El tutor explica ejercicios paso a paso, reformula conceptos difíciles, sugiere libros, prepara exámenes modelo y verifica si la explicación quedó clara.
No entrega enlaces. Conversa. Acompaña. Enseña.

No reemplaza al docente, pero sí cubre el espacio imposible: estar disponible a las 11 de la noche cuando el examen es mañana.
La premisa es contundente: la IA democratiza el conocimiento.

Una diferencia clave: institucional, no genérica

A diferencia de plataformas públicas como Gemini o ChatGPT, el asistente del Colegio B&G:

Sabe que habla con un miembro registrado
Responde solo con información oficial
Opera bajo restricciones estrictas para proteger a menores
Requiere enlace único e intransferible enviado al correo del representante
No interactúa con personas ajenas a la comunidad

Los grupos de acceso controlado tienen cuatro años funcionando; la IA es la capa que convierte esa confianza en un servicio permanente.

Un colegio que redefine la educación en 2025

Un sistema que responde cualquier consulta en segundos, a cualquier hora, dentro de un entorno seguro, no solo mejora la eficiencia: redefine lo que significa ser una institución educativa moderna.

El Colegio Simón Bolívar y Giuseppe Garibaldi afirma con hechos que:

La información oficial pertenece a las familias, no solo a la oficina administrativa.
La seguridad de los estudiantes justifica invertir en tecnología que ningún grupo de WhatsApp puede replicar.
La inteligencia artificial no es el futuro: es una herramienta disponible hoy, que instituciones responsables pueden usar con criterio y propósito.

Nota de prensa

No dejes de leer

Antonio Valente Izzi asume como presidente de Movistar Venezuela

Infórmate al instante únete a nuestros canales

WhatsApp ACN – Telegram NoticiasACN – Instagram acn.web – TikTok _agenciacn – X agenciacn