APT15 Hackere angreb kinesisk mindretal med Android-spyware

Sikkerhedsforskere opdagede en bølge af sofistikerede målangreb, der stammer fra den velkendte APT15-hackinggruppe. Målene ser ud til at være Uyghur-samfundet, der bor i Kina, og efter analysen af ​​hændelser ser det ud til, at de kriminelle kan være knyttet til en statslig regeringsentreprenør. De vigtigste værktøjer, der bruges til at starte angrebene, er Android-malware-apps.

APT15-hackernes angreb, der er sat på mod den uiguriske kinesiske minoritet ved hjælp af Android-spyware

Den for nylig involverede APT15-hackinggruppe i koordinerede storskala indtrængen synes at ske ved hjælp af velkendt Android-spyware. Resultaterne tyder også på, at det er kendt, at den aktive kampagne har været aktiv siden mindst 2013. Dette fremgår af det faktum, at de fire Android-spyware har været kendt for at have været brugt som våben tilbage i 2015.

Det, vi ved om APT15-hackerne, er, at de gennem årene har nået et ry for at være en af ​​de formidable kriminelle grupper i Asien-regionen. Dette storskala angreb er organiseret mod det lokale uiguriske etniske mindretal i Kina sammen med tibetanerne, der også bor i landet. Aktiviteten af ​​hackinggruppen er også forbundet med desktop-trusler — hackernes angreb er ikke udelukkende knyttet til mobile trusler. Ofrene taler mange sprog i de regioner, de bor, af denne grund er malware programmeret til at være kompatibel med dem:

Uyghur (i alle dets fire manuskripter:
arabisk, Russisk, Uyghur kyrillisk og kinesisk), Engelsk, arabisk, Kinesisk, tyrkisk, pashto, persisk, Malay, Indonesisk, usbekisk, og urdu / hindi.

En af grundene til, at dette angreb betragtes som meget effektivt, er fordi de forskellige sammenkoblede Android-malware-brug delt infrastruktur der koordineres af kriminelle. Det, vi ved om angrebskampagnen, er det det vigtigste mål er at indsamle personlige oplysninger. de samles af den indbyggede motor og sendes derefter videre til hackerne ved hjælp af en specielt etableret forbindelse.

Flere detaljer om APT15-kampagnen: Oversigt over Android Spyware Tools

Den farlige kampagne fokuserer på brugen af ​​fire Android-spyware-værktøjer, som forskerne har opdaget.

Den første er den SilkBean som blev analyseret sidste år, da dets brug nåede toppen af ​​brugen af ​​hackere. Dette er kategoriseret som en Remote Access Trojan som når de er installeret tillader de kriminelle at henrette 70 forskellige typer kommandoer. Det leveres via en nyttelast bærer — inficerede applikationer, der kan placeres i forskellige lagre, fildelingsnetværk og også lagt ud på det officielle Google Play-websted med falske eller stjålne legitimationsoplysninger. I denne henseende vil en af ​​de vigtigste taktikker, der bruges af hackerne, blive indlejret viruskoden i islam-relaterede applikationer.

SilkBean er installeret i en implementering af flere trin maskeret i en tastatur mobil applikation. Når den er installeret i den smarte enhed, vil den bede brugeren om at installere en opdatering, og denne bruges til at distribuere en virus i baggrunden. Denne skjulte motor kører Trojansk hest infektion. Dette vil ikke kun give hackere mulighed for at overhale kontrollen over maskinerne, men også for at kapre forskellige typer information - personlig brugerinformation, systemdata og applikationsdata og cache. Trojan-kode giver kriminelle mulighed for også at stjæle brugerdata og ændre enhedsindstillinger.

DoubleAgent er den anden Android malware, der bruges af hackere. De bekræftede prøver indikerer, at det blev fundet i virusinficerede kopier af KakaoTalk-app. I andre tilfælde er denne malware identificeret i lokale samfundsapps. Dens malware-kode er krypteret og inkluderer også Trojan kapaciteter. Det bruger komplekse karaktermønstre for at skjule sine kommandoer, der kan videresendes fra hackere fra fjernserverne ned til de inficerede enheder. Et uddrag af nogle af mest populære kommandoer omfatter følgende:

• Hentning af filer og upload af malware-data
• Dataudtræk
• Tyveri af databaser og applikationsdata
• Indstillinger Ændring

DoubleAgent inkluderer muligheden for at logge kode i en intern database, som derefter kan uploades til den hacker-kontrollerede server. Applikationsdata for populær software, der vil blive kapret, inkluderer følgende:

Talkbox, DiDi, Keechat, Coco, Voxer, WhatsApp, Airetalk, Viber, Telegram, Zello, Skype, QQ, MicroMsg, MagicCall, BBM

CarbonSteal er en anden Android-spyware, der bruges af hackere. Dette er en særlig farlig trussel, som den bruger underskrevne certifikater for at maskere sig selv som en legitim applikation. Dette er en spyware-app, der går tilbage til 2017 og indlejret i mere end 500 typer af nyttelastbærere. Hvad angår overvågningsfunktionerne, har angriberen inkluderet avanceret kode der kan udføre lydoptagelse (fra de indbyggede mikrofoner). Det kan også kontrollere applikationer via SMS-beskeder der modtages og bemærkes af den lokalt installerede motor.

I sammenligning med andre lignende trusler beskrives CarbonSteal som en yderst sofistikeret trussel mod evnen til at dekryptere og kryptere hvert modul, det indeholder. Dette gør det muligt at omgå de fleste sikkerhedsprogramscanninger:

• Hentning af opkaldslogger, SMS / MMS-beskeder
• Gentagelse af enhedsoplysninger såsom følgende: model metadata, fabrikant, produkt, sdcard størrelse, hukommelse, information om diskbrug, cpu information og osv.
• Hentning af QQ-indhold og en liste over det installerede program
• MiCode-datatyveri
• Live placering data hentning
• SMS-meddelelser dataindhentning og udførelse af kommandoer
• Ekstern lydoptagelse
• Søger efter multimediefiler fra det interne og eksterne lager
• Indhentning af netværksstatusinformation
• Login ved enhedsstart
• Indlæsning af dynamisk indhold

Den CarbonSteal Android spyware kan bruges til at installere andre vira til de kompromitterede maskiner og også installere sig selv på en måde, der også fungerer, når strømbesparelse er aktiveret.

Den sidste Android-spyware, der bruges af APT15-hackerne, kaldes Gylden ørn hvilket er kendt af forskere siden 2012 hvor de første kendte prøver af det blev fundet. I årenes løb er denne malware blevet opdateret med nyere funktioner. Størstedelen af ​​angreb udføres af inficerede apps, herunder følgende:

Sarkuy, Sommer, du syr, kirgzxvx, yeltapan luft, TIBBIYJAWHAR, Hawar.cn Nyheder, Nur.cn News og Uyghur Quran

Inden der udføres yderligere handlinger, inkluderer en af ​​de første kommandoer, der er lanceret af motoren grundlæggende datatyveri — opkaldslister, SMS-beskeder og kontakter. Oplysningerne gemmes i en tekstfil, der videresendes til en hacker-kontrolleret server.

Funktionsrige og opdaterede versioner af GoldenEagle Android-spyware kan kommanderes til at udføre andre handlinger. Eksempler inkluderer download og kørsel af ondsindede apps. Status for alle installerede og kørende apps og processer kan udvindes og sendes til fjernangrebene. Udvidet filer og information kan kapres - de data, der downloades fra fjernserverne, inkluderer multimedieindhold og enhedsbrugsmålinger. Fuld overvågningskapacitet vil blive inkluderet - optagelse af lyd, opkald, skærmoptagelser og skærmbilleder. Sammen med evnen til at kapre data, der findes i filsystemet og ekstern lagring og læse live-lokaliseringsdata, giver dette en meget formidabel infektion af trojansk type.

Denne effektive kampagne lavet af hackinggruppen APT15 viser, hvordan et stærkt organiseret hackingkollektiv kan udtænke og organisere en så kompleks kampagne. I forhold til denne Android-brugere skal være ekstra omhyggelige og kun installere pålidelige applikationer, der holder øje med malware, der udgør efterlignende programmer på depoterne.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig: