Zlonamjerna grupa APT41 napada Android uređaje

Sigurnosni istraživači su otkrili zlonamjernu grupu povezanu sa Kinom, poznatu kao APT41 kako koristi prethodno nedokumentovane vrste Android špijunskog softvera koji su nazvani WyrmSpy i DragonEgg.

APT41 group

Zlonamjerna grupa APT41 napada Android uređaje; Source: Bing Image Creator

APT41 grupa

APT41 grupa je jedna od najstarijih poznatih državno sponzorisanih grupa iz kategorije napredne trajne prijetnje poznata još pod nazivima Axiom, Blackfly, Brass Typhoon, Barium, Bronze Atlas, HOODOO, Wicked Panda i Winnti. Aktivnost APT41 grupe potiče još od 2012. godine, kada je napadala mete u industriji video igara, a danas je poznata po sprovođenju operacija špijunaže protiv subjekata u različitim industrijskim sektorima, od zdravstvene zaštite i telekomunikacija do tehnoloških firmi i filmskih i medijskih kompanija. Sumnja se da su ove akcije imale zadatak da unaprijede ciljeve kineske vlade.

APT41 grupa je veoma fleksibilna i uporna, sa brzom reakcijom na promjene u okruženju žrtve i aktivnostima koje preduzimaju odgovorni za incidente. To znači da se grupa veoma dobro nosi sa nepredviđenim preprekama i da je u stanju da se vrati u sistem čak i nakon što su je sigurnosni timovi izbacili iz okruženja kompromitovane organizacije. U jednom slučaju, grupa je primijenila preko 150 jedinstvenih dijelova zlonamjernog softvera u jednogodišnjoj kampanji protiv jedne mete.

Ono što APT41 grupu čini jedinstvenom je napor koji ulažu u postizanju profita. Čini se da članovi ove grupe, aktivno reklamiraju svoje vještine na hakerskim forumima preuzimajući poslove sa strane kako bi došli do dodatnih prihoda. Pored toga ova grupa je u cilju postizanja dodatnih prihoda vršila manipulacije sa virtuelnim valutama i upotrebljavala ransomware. Zabilježeni su napadi na programere sa krađom digitalnih certifikata čijiom su zloupotrebom izbjegavali detekciju svog zlonamjernog softvera.

APT41 grupa postiže veliki uspjeh svojim načinom rada kroz veze sa tržištima u podzemlju koje sponzoriše država, a postoje naznake da grupa ima zaštitu koja joj omogućava postizanje zarade pošto je država spremna da zanemari njeno djelovanje. Takođe, postoji mogućnost da ova grupa uspješno izbjegava nadzor kineskih vlasti.

 

Android zlonamjerni softveri

WyrmSpy i DragonEgg su dva napredna Android softvera za nadzor koje sigurnosni istraživači pripisuju kineskoj grupi APT41, koja je uglavnom poznata po iskorištavanju Internet aplikacija i infiltraciji u tradicionalne korisničke uređaje, a u ovom slučaju oni su rijetki prijavljeni primjer u kojem ova grupa eksploatiše mobilne platforme.

Čini se da oba softvera za nadzor imaju sofisticirane mogućnosti prikupljanja i slanja podataka i sakrivaju te funkcije u dodatnim modulima koji se preuzimaju nakon što su instalirani. WyrmSpy se prvenstveno maskira kao podrazumijevana aplikacija za operativni sistem, dok se DragonEgg pretvara da je tastatura ili aplikacije za razmjenu poruka treće strane.

WyrmSpy i DragonEgg su međusobno povezani korištenjem preklapajućih Android certifikata za potpisivanje. Sigurnosni istraživači su primijetili da su neke verzije WyrmSpy zlonamjernog softvera uvele jedinstvene certifikate za potpisivanje koje su kasnije korišteni kod DragonEgg zlonamjernog softvera. Oba zlonamjerna softvera zahtijevaju opsežne dozvole uređaja dok se oslanjaju na module koji se preuzimaju nakon instaliranja aplikacija da bi dobile mogućnosti slanja podataka. Ipak, ove se aplikacije prilično razlikuju.

 

Zlonamjerni softver WyrmSpy

WyrmSpy se prvenstveno maskira u podrazumijevanu Android sistemsku aplikaciju koja se koristi za prikazivanje obavještenja korisniku. Kasnije varijante pakuju zlonamjerni softver u aplikacije koje se maskiraju kao video sadržaj za odrasle, platformu za isporuku hrane “Baidu Waimai” i Adobe Flash.

Nakon što je instaliran i pokrenut, WyrmSpy koristi poznate alatke za rutovanje (eng. rooting) da bi dobio povećane privilegije za uređaj i izvršio aktivnosti nadzora određenim komandama primljenim sa njegovih C2 servera. Ove komande uključuju instrukcije zlonamjernom softveru da otpremi datoteke evidencije, fotografije uskladištene na uređaju i dobije lokaciju uređaja pomoću Baidu biblioteke lokacija.

Sigurnosni istraživači tvrde sa velikom pouzdanošću da zlonamjerni softver koristi sekundarni aktivni dio virusa za obavljanje dodatne funkcije nadzora. Ova tvrdnja se bazira na dozvolama koje WyrmSpy dobija, ali ih ne koristi u kôdu sadržanom u aplikaciji, što ukazuje na sposobnost preuzimanja dodatnih podataka, kao što su SMS i audio snimci. Na kraju, pretpostavlja se da ovaj zlonamjerni softver prikuplja sljedeće podatke:

  • Datoteke za praćenje rada.
  • Fotografije.
  • Lokacija uređaja.
  • SMS poruke (čitanje i pisanje).
  • Audio zapise.

 

Zlonamjerni softver DragonEgg

DragonEgg je primijećen u aplikacijama koje su navodno Android tastature i aplikacije za razmjenu poruka kao što je Telegram. Slično kao i WyrmSpy zlonamjerni softver i on koristi dodatni aktivni dio virusa kako bi implementirao punu mogućnost svojih funkcija nadzora.

Prilikom pokretanja, zlonamjerni softver preuzima — bilo iz C2 infrastrukture ili povezane datoteke u APK datoteci — aktivni dio virusa koji se često naziva “smallmload.jar” koji pokušava da dobije i pokrene dodatnu funkcionalnost. Kao i WyrmSpy, uzorci DragonEgg zahtijevaju opsežne dozvole za usluge koje se ne izvršavaju direktno u osnovnoj aplikaciji.

Sigurnosni istraživači pretpostavljaju da korištenje legitimnih aplikacija za razmjenu poruka (kao što je Telegram), omogućava grupi APT41 da ostane neprimjetna dok zahteva pristup obimnim podacima uređaja. Aplikacije za razmjenu poruka obično zahtijevaju pristup osjetljivim podacima uređaja, a sakrivanjem svoje funkcije nadzora u okviru velike, potpuno funkcionalne aplikacije, zlonamjerni napadač može bolje da ostane neprimjetan dok aplikacija radi na uređaju ili je statički analizira istraživač. Ovaj zlonamjerni softver prikuplja sljedeće podatke:

  • Kontakte sa uređaja.
  • SMS poruke.
  • Datoteke za skladištenje spoljnog uređaja.
  • Lokaciju uređaja.
  • Audio zapise.
  • Fotografije sa kamere.

 

Distribucija

Pretpostavlja se da se distribucija odvija putem kampanja socijalnog inženjeringa, pošto kompanija Google nije pronašla niti jednu aplikaciju koja sadrži ove zlonamjerne softvere u Google Play prodavnici. WyrmSpy je prvi put primijećen 2017. godine, DragonEgg početkom 2021. godine, dok su najnoviji uzorci otkriveni u aprilu 2023. godine.

 

Zaštita

Kako bi se zaštitili, korisnici Android uređaja bi trebalo da vode računa o sljedećim preporukama:

  • Ograničiti broj instaliranih aplikacija na uređaju samo na one koje će se koristiti.
  • Prije instalacije aplikacija, korisnici bi trebalo da provjere njihovu ocjenu i recenzije u Google Play prodavnici, ali i na drugim relevantnim mjestima kombinovano.
  • Korisnici bi trebalo da obrate pažnju na takozvane “ubačene” aplikacije, gdje zlonamjerni akteri naprave legitimnu aplikaciju, kako bi prošla sve bezbjednosne provjere na Google Play prodavnici, a nakon toga aplikacija dobija zlonamjerna ažuriranja sa servera koju kontrolišu zlonamjerni akteri.
  • Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.
  • Korinici bi trebalo da koriste neko od provjerenih Android sigurnosnih riješenja.
  • Korisnici treba da provjere da li je omogućena opcija Google Play Protect i da je uključe ako je isključena.

 

Zaključak

Interes grupe APT41 za Android uređaje pokazuje da ovi uređaji postaju mete visoke vrijednosti ovoj grupi, kao i podaci koji se na njima nalaze, a otkriće zlonamjernih softvera koje koristi ova grupa je samo podsjetnik na rastuću prijetnju od naprednih Andorid zlonamjernih softvera. Ovi napredni zlonamjerni softveri su veoma sofisticirani i mogu se koristiti za prikupljanje širokog spektra podataka sa zaraženih uređaja, što znači da korisnici Android uređaja moraju da budu svjesni prijetnje i da preduzmu korake da zaštite svoje uređaje, posao i lične podatke.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.