{"id":5134,"date":"2023-07-25T20:31:38","date_gmt":"2023-07-25T18:31:38","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5134"},"modified":"2023-07-25T20:31:38","modified_gmt":"2023-07-25T18:31:38","slug":"zlonamjerna-grupa-apt41-napada-android-uredjaje","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/07\/25\/zlonamjerna-grupa-apt41-napada-android-uredjaje\/","title":{"rendered":"Zlonamjerna grupa APT41 napada Android ure\u0111aje"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su otkrili zlonamjernu grupu povezanu sa Kinom, poznatu kao APT41<\/em> kako koristi prethodno nedokumentovane vrste Android<\/em> \u0161pijunskog softvera<\/a> koji su nazvani WyrmSpy<\/em> i DragonEgg<\/em>.<\/span><\/p>\n

\"APT41

Zlonamjerna grupa APT41 napada Android ure\u0111aje; Source: Bing Image Creator<\/em><\/p><\/div>\n

APT41<\/em> grupa<\/strong><\/span><\/h2>\n

APT41<\/em> grupa je jedna od najstarijih poznatih dr\u017eavno sponzorisanih grupa iz kategorije napredne trajne prijetnje<\/a> poznata jo\u0161 pod nazivima Axiom, Blackfly, Brass Typhoon, Barium, Bronze Atlas, HOODOO, Wicked Panda<\/em> i Winnti<\/em>. Aktivnost APT41<\/em> grupe poti\u010de jo\u0161 od 2012. godine, kada je napadala mete u industriji video igara, a danas je poznata po sprovo\u0111enju operacija \u0161pijuna\u017ee protiv subjekata u razli\u010ditim industrijskim sektorima, od zdravstvene za\u0161tite i telekomunikacija do tehnolo\u0161kih firmi i filmskih i medijskih kompanija. Sumnja se da su ove akcije imale zadatak da unaprijede ciljeve kineske vlade.<\/span><\/p>\n

APT41<\/em> grupa je veoma fleksibilna i uporna, sa brzom reakcijom na promjene u okru\u017eenju \u017ertve i aktivnostima koje preduzimaju odgovorni za incidente. To zna\u010di da se grupa veoma dobro nosi sa nepredvi\u0111enim preprekama i da je u stanju da se vrati u sistem \u010dak i nakon \u0161to su je sigurnosni timovi izbacili iz okru\u017eenja kompromitovane organizacije. U jednom slu\u010daju, grupa je primijenila preko 150 jedinstvenih dijelova zlonamjernog softvera u jednogodi\u0161njoj kampanji protiv jedne mete.<\/span><\/p>\n

Ono \u0161to APT41<\/em> grupu \u010dini jedinstvenom je napor koji ula\u017eu u postizanju profita. \u010cini se da \u010dlanovi ove grupe, aktivno reklamiraju svoje vje\u0161tine na hakerskim forumima preuzimaju\u0107i poslove sa strane kako bi do\u0161li do dodatnih prihoda. Pored toga ova grupa je u cilju postizanja dodatnih prihoda vr\u0161ila manipulacije sa virtuelnim valutama i upotrebljavala ransomware<\/em>. Zabilje\u017eeni su napadi na programere sa kra\u0111om digitalnih certifikata \u010dijiom su zloupotrebom izbjegavali detekciju svog zlonamjernog softvera.<\/span><\/p>\n

APT41<\/em> grupa posti\u017ee veliki uspjeh svojim na\u010dinom rada kroz veze sa tr\u017ei\u0161tima u podzemlju koje sponzori\u0161e dr\u017eava, a postoje naznake da grupa ima za\u0161titu koja joj omogu\u0107ava postizanje zarade po\u0161to je dr\u017eava spremna da zanemari njeno djelovanje. Tako\u0111e, postoji mogu\u0107nost da ova grupa uspje\u0161no izbjegava nadzor kineskih vlasti.<\/span><\/p>\n

 <\/p>\n

Android<\/em> zlonamjerni softveri<\/strong><\/span><\/h3>\n

WyrmSpy<\/em> i DragonEgg<\/em> su dva napredna Android<\/em> softvera za nadzor koje sigurnosni istra\u017eiva\u010di pripisuju kineskoj grupi APT41<\/em>, koja je uglavnom poznata po iskori\u0161tavanju Internet aplikacija i infiltraciji u tradicionalne korisni\u010dke ure\u0111aje, a u ovom slu\u010daju oni su rijetki prijavljeni primjer u kojem ova grupa eksploati\u0161e mobilne platforme.<\/span><\/p>\n

\u010cini se da oba softvera za nadzor imaju sofisticirane mogu\u0107nosti prikupljanja i slanja podataka i sakrivaju te funkcije u dodatnim modulima koji se preuzimaju nakon \u0161to su instalirani. WyrmSpy<\/em> se prvenstveno maskira kao podrazumijevana aplikacija za operativni sistem, dok se DragonEgg<\/em> pretvara da je tastatura ili aplikacije za razmjenu poruka trec\u0301e strane.<\/span><\/p>\n

WyrmSpy<\/em> i DragonEgg<\/em> su me\u0111usobno povezani kori\u0161tenjem preklapaju\u0107ih Android<\/em> certifikata za potpisivanje. Sigurnosni istra\u017eiva\u010di su primijetili da su neke verzije WyrmSpy<\/em> zlonamjernog softvera uvele jedinstvene certifikate za potpisivanje koje su kasnije kori\u0161teni kod DragonEgg<\/em> zlonamjernog softvera. Oba zlonamjerna softvera zahtijevaju opse\u017ene dozvole ure\u0111aja dok se oslanjaju na module koji se preuzimaju nakon instaliranja aplikacija da bi dobile mogu\u0107nosti slanja podataka. Ipak, ove se aplikacije prili\u010dno razlikuju.<\/span><\/p>\n

 <\/p>\n

Zlonamjerni softver WyrmSpy<\/em><\/strong><\/span><\/h3>\n

WyrmSpy<\/em> se prvenstveno maskira u podrazumijevanu Android<\/em> sistemsku aplikaciju koja se koristi za prikazivanje obavje\u0161tenja korisniku. Kasnije varijante pakuju zlonamjerni softver u aplikacije koje se maskiraju kao video sadr\u017eaj za odrasle, platformu za isporuku hrane \u201cBaidu<\/em> Waimai<\/em>\u201d i Adobe<\/em> Flash<\/em>.<\/span><\/p>\n

Nakon \u0161to je instaliran i pokrenut, WyrmSpy<\/em> koristi poznate alatke za rutovanje (eng. rooting<\/em>) da bi dobio pove\u0107ane privilegije za ure\u0111aj i izvr\u0161io aktivnosti nadzora odre\u0111enim komandama primljenim sa njegovih C2<\/em> servera. Ove komande uklju\u010duju instrukcije zlonamjernom softveru da otpremi datoteke evidencije, fotografije uskladi\u0161tene na ure\u0111aju i dobije lokaciju ure\u0111aja pomo\u0107u Baidu<\/em> biblioteke lokacija.<\/span><\/p>\n

Sigurnosni istra\u017eiva\u010di tvrde sa velikom pouzdano\u0161\u0107u da zlonamjerni softver koristi sekundarni aktivni dio virusa<\/a> za obavljanje dodatne funkcije nadzora. Ova tvrdnja se bazira na dozvolama koje WyrmSpy <\/em>dobija, ali ih ne koristi u k\u00f4du sadr\u017eanom u aplikaciji, \u0161to ukazuje na sposobnost preuzimanja dodatnih podataka, kao \u0161to su SMS<\/em> i audio snimci. Na kraju, pretpostavlja se da ovaj zlonamjerni softver prikuplja sljede\u0107e podatke:<\/span><\/p>\n