Çin devlet destekli APT41 hacking grubu, Lookout güvenlik araştırmacıları tarafından Wyrmspy ve Dragonegg olarak adlandırılan yeni keşfedilen iki casus yazılım suşuna sahip Android cihazlarını hedefliyor.
APT41, ABD, Asya ve Avrupa'da çeşitli endüstrileri hedefleme geçmişine sahip en eski devlet hack gruplarından biridir.
Yazılım geliştirme, donanım üretimi, düşünce tankları, telkoslar, üniversiteler ve yabancı hükümetler dahil olmak üzere çeşitli endüstri sektörlerinde varlıklara karşı siber-ihale operasyonları yürüttüğü bilinmektedir.
Grup, birden fazla siber güvenlik şirketi tarafından çeşitli isimler altında izlendi. Kaspersky, saldırılarında kullanılan kötü amaçlı yazılımları tanımlamak için 2012'den beri Winnti olarak faaliyetlerini izliyor.
Benzer şekilde, Mantiant da 2014'ten beri onları izliyor ve faaliyetlerinin Barium gibi bilinen diğer Çin hack gruplarıyla örtüştüğünü fark etti.
ABD Adalet Bakanlığı, Eylül 2020'de 100'den fazla şirkete siber saldırılara katılımları için APT41 ile bağlantılı beş Çinli vatandaş tarafından suçlandı.
Lookout, bu hafta yayınlanan bir raporda, "Ulus-devlet destekli birçok APT grubunun aksine, APT41, bu hafta yayınlanan bir raporda Lookout," Hükümet kuruluşlarını casusluk için ve finansal kazanç için farklı özel işletmelerden ödün vermenin bir geçmişine sahip. "Dedi.
APT41 bilgisayar korsanları genellikle savunmasız web uygulamaları ve internete maruz kalan uç noktalar aracılığıyla hedeflerinin ağlarını ihlal ederken, Grubun ayrıca Wyrmspy ve Dragonegg Spyware suşları ile Android cihazlarını hedeflediğini söylüyor.
Lookout ilk olarak Wyrmspy'yi 2017'de ve 2021'in başlarında Dragonegg'i tanımladı ve en son örnek Nisan 2023'e kadar uzanıyordu.
Her iki Android kötü amaçlı yazılım suşları, ikincil yükleri dağıttıktan sonra tehlikeye atılmış Android cihazlarda etkinleştirilen kapsamlı veri toplama ve eksfiltrasyon özellikleri ile birlikte gelir.
Wyrmspy kendisini varsayılan bir işletim sistemi uygulaması olarak gizlerken, Dragonegg üçüncü taraf klavye veya mesajlaşma uygulamaları olarak kamufle edilir ve tespitten kaçınmak için bu kılavuzları kullanır.
İki kötü amaçlı yazılım suşu, üst üste binen Android imza sertifikalarını paylaşarak tek bir tehdit oyuncusu ile bağlantılarını güçlendiriyor.
Lookout, 121.42.149 [.] 52 IP adresi ile bir komut ve kontrol (C2) sunucusu bulduktan sonra APT41 ile bağlantılarını keşfetti (VPN2.umisen [.] COM alanına çözümleme ve kötü amaçlı yazılım kaynak koduna sabit kodlu).
Sunucu, ABD Adalet Bakanlığı'nın Eylül 2020 iddianamesinde açıklandığı gibi, Mayıs 2014 ile Ağustos 2020 arasında APT41'in saldırı altyapısının bir parçasıydı.
Lookout, "Lookout araştırmacıları henüz vahşi doğada örneklerle karşılaşmamış ve sosyal mühendislik kampanyaları aracılığıyla kurbanlara dağıtıldıklarına dair ılımlı bir güvenle değerlendirmediler. Google, mevcut tespiti temel alarak, bu kötü amaçlı yazılımları içeren hiçbir uygulamanın Google Play'de bulunmadığını doğruladı." Dedi.
Bununla birlikte, APT41'in Android cihazlara olan ilgisi "mobil uç noktaların açgözlü verilerle yüksek değerli hedefler olduğunu göstermektedir."
Google Play'de 1.5m yüklü uygulamalar verilerinizi Çin'e gönderin
Android Spyware, Google Play'de VPN, Sohbet Uygulamaları olarak kamufle edildi
Android GravityRat kötü amaçlı yazılım artık WhatsApp Yedeklerinizi çalıyor
Android Güvenlik Güncellemesi Mali GPU hatasını sıfır gün olarak sömürdü
Spinok Android kötü amaçlı yazılım 30 milyon yükleme ile daha fazla uygulamada bulundu
Kaynak: Bleeping Computer