APT41 olarak bilinen üretken Çin bağlantılı ulus devlet aktörü, WyrmSpy ve DragonEgg adlı daha önce belgelenmemiş iki Android casus yazılım türüyle bağlantılı.
Lookout, “Web’e dönük uygulamaları istismar etmesi ve geleneksel uç nokta cihazlarına sızmasıyla tanınan, kötü amaçlı yazılım cephaneliğine mobil de dahil olmak üzere APT 41 gibi yerleşik bir tehdit aktörü, mobil uç noktaların gıpta ile bakılan kurumsal ve kişisel verilerle nasıl yüksek değerli hedefler olduğunu gösteriyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
Axiom, Blackfly, Brass Typhoon (eski adıyla Barium), Bronze Atlas, HOODOO, Wicked Panda ve Winnti adları altında da izlenen APT41’in en az 2007’den beri faaliyette olduğu biliniyor ve fikri mülkiyet hırsızlığı yapmak için çok çeşitli sektörleri hedefliyor. .
Rakip kolektif tarafından düzenlenen son saldırılar, Tayvan ve İtalya’daki medya ve iş platformlarını hedef alan saldırıların bir parçası olarak Google Command and Control (GC2) olarak bilinen açık kaynaklı bir kırmızı takım oluşturma aracından yararlandı.
Mobil gözetleme yazılımı kampanyası için ilk izinsiz giriş vektörü bilinmiyor, ancak bunun sosyal mühendislik kullanımını içerdiğinden şüpheleniliyor. Lookout, WyrmSpy’ı ilk olarak 2017 gibi erken bir tarihte ve DragonEgg’i 2021’in başında tespit ettiğini ve ikincisinin yeni örneklerinin Nisan 2023 gibi yakın bir tarihte tespit edildiğini söyledi.
WyrmSpy, öncelikle kullanıcıya bildirimleri görüntülemek için kullanılan varsayılan bir sistem uygulaması gibi davranır. Ancak daha sonraki varyantlar, kötü amaçlı yazılımı yetişkinlere uygun video içeriği kimliğine bürünen Baidu Waimai ve Adobe Flash gibi uygulamalara paketledi. Öte yandan DragonEgg, üçüncü taraf Android klavyeleri ve Telegram gibi mesajlaşma uygulamaları şeklinde dağıtıldı.
Bu hileli uygulamaların Google Play Store aracılığıyla yayıldığına dair hiçbir kanıt yok.
WyrmSpy ve DragonEgg’in APT41’e olan bağlantıları, 121.42.149 IP adresine sahip bir komut ve sunucu (C2) kullanımından kaynaklanmaktadır.[.]52, bir etki alanına çözümlenir (“vpn2.umisen[.]com”) daha önce grubun altyapısıyla ilişkili olarak tanımlandı.
Bir kez yüklendikten sonra, her iki kötü amaçlı yazılım türü de müdahaleci izinler ister ve kullanıcıların fotoğraflarını, konumlarını, SMS mesajlarını ve ses kayıtlarını toplayan gelişmiş veri toplama ve sızdırma yetenekleriyle birlikte gelir.
Kötü amaçlı yazılımın, veri toplamayı kolaylaştırmak ve aynı anda tespit edilmekten kaçınmak için uygulamanın yüklenmesinden sonra artık çevrimdışı olan bir C2 sunucusundan indirilen modüllere dayandığı da gözlemlendi.
WyrmSpy kendi adına, Android’deki bir güvenlik özelliği olan Security-Enhanced Linux’u (SELinux) devre dışı bırakabilir ve güvenliği ihlal edilmiş telefonlarda yükseltilmiş ayrıcalıklar elde etmek için KingRoot11 gibi köklendirme araçlarını kullanabilir. DragonEgg’in dikkate değer bir özelliği, bir adli tıp programı gibi görünen bilinmeyen bir üçüncül modülü getirmek için C2 sunucusuyla bağlantı kurmasıdır.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Lookout’ta kıdemli bir tehdit araştırmacısı olan Kristina Balaam, “WyrmSpy ve DragonEgg’in keşfi, gelişmiş Android kötü amaçlı yazılımlarının oluşturduğu artan tehdidi hatırlatıyor” dedi. “Bu casus yazılım paketleri oldukça karmaşıktır ve virüs bulaşmış cihazlardan çok çeşitli verileri toplamak için kullanılabilir.”
Bulgular, Mandiant’ın Çinli casusluk ekipleri tarafından radarın altından uçmak için benimsediği gelişen taktikleri ifşa etmesiyle geldi. Bunlar arasında ağ aygıtlarını ve sanallaştırma yazılımını silahlandırmak, C2 altyapısı ile kurban ortamları arasındaki trafiği gizlemek için botnet’ler kullanmak ve kurban ağlarının içindeki kötü niyetli trafiği ele geçirilmiş ağlar aracılığıyla tünellemek de dahil. sistemler.
Google’ın sahibi olduğu tehdit istihbaratı şirketi, “Bot ağlarının kullanımı, güvenliği ihlal edilmiş bir ağda proxy trafiği ve uç cihazları hedefleme yeni taktikler olmadığı gibi Çinli siber casusluk aktörlerine de özgü değil.” “Ancak, son on yılda, Çinli siber casusluk aktörlerinin daha maksatlı, sinsi ve etkili operasyonlara yönelik daha geniş bir evrimin parçası olarak bu ve diğer taktikleri kullanmasını izledik.”