Sicherheitsforscher entdeckten eine Flut hochentwickelter gezielter Angriffe, die von der bekannten APT15-Hacking-Gruppe stammen. Die Ziele scheinen die in China lebende uigurische Gemeinschaft zu sein, und nach der Analyse der Vorfälle scheint es, dass die Kriminellen mit einem Auftragnehmer der Landesregierung in Verbindung gebracht werden können. Die wichtigsten Tools zum Starten der Angriffe sind Android-Malware-Apps.
Der Angriff der APT15-Hacker gegen die uigurische chinesische Minderheit mit Android-Spyware
Die jüngste Beteiligung der APT15-Hacking-Gruppe an koordinierten Eingriffen in großem Maßstab scheint mit bekannter Android-Spyware zu erfolgen. Die Ergebnisse zeigen auch, dass die aktive Kampagne mindestens seit mindestens einer Woche aktiv ist 2013. Dies geht aus der Tatsache hervor, dass die vier Android-Spyware bekanntermaßen bereits früher als Waffen eingesetzt wurden 2015.
Was wir über die APT15-Hacker wissen, ist, dass sie im Laufe der Jahre den Ruf erlangt haben, eine der größten kriminellen Gruppen in der Region Asien zu sein. Dieser groß angelegte Angriff wird gegen die lokale uigurische ethnische Minderheit in China zusammen mit den Tibetern organisiert, die ebenfalls im Land leben. Die Aktivität der Hacking-Gruppe ist auch mit Desktop-Bedrohungen verbunden — Die Angriffe der Hacker sind nicht nur an mobile Bedrohungen gebunden. Die Opfer sprechen in den Regionen, in denen sie leben, viele Sprachen, Aus diesem Grund ist die Malware so programmiert, dass sie mit ihnen kompatibel ist:
Uigurisch (in all seinen vier Skripten:
Arabisch, Russisch, Uigurisch Kyrillisch und Chinesisch), Englisch, Arabisch, Chinese, Türkisch, Paschtu, persisch, malaiisch, Indonesier, Usbekisch, und Urdu / Hindi.
Einer der Gründe, warum dieser Angriff als sehr effektiv angesehen wird, ist die Verwendung der verschiedenen miteinander verbundenen Android-Malware gemeinsame Infrastruktur das wird von den Verbrechern koordiniert. Was wir über die Angriffskampagne wissen, ist das Das Hauptziel ist es, persönliche Informationen zu sammeln. Sie werden von der eingebauten Engine gesammelt und dann über eine speziell hergestellte Verbindung an die Hacker gesendet.
Weitere Details zur APT15-Kampagne: Übersicht über die Android Spyware Tools
Die gefährliche Kampagne konzentriert sich auf die Verwendung von vier Android-Spyware-Tools, die von den Forschern entdeckt wurden.
Die erste ist die SilkBean Dies wurde letztes Jahr analysiert, als seine Nutzung von den Hackern ihren Höhepunkt erreichte. Dies wird als kategorisiert Remote Access Trojan was bei der Installation den Kriminellen erlaubt über ausführen 70 verschiedene Arten von Befehlen. Es wird über a geliefert Nutzlastträger — infizierte Anwendungen, die in verschiedenen Repositorys abgelegt werden können, Filesharing-Netzwerke und auch auf der offiziellen Google Play-Website mit gefälschten oder gestohlenen Anmeldeinformationen veröffentlicht. In dieser Hinsicht wird eine der Haupttaktiken der Hacker darin bestehen, den Virencode in islambezogene Anwendungen einzubetten.
SilkBean ist in a installiert mehrstufige Bereitstellung maskiert in a mobile Tastaturanwendung. Wenn es auf dem Smart-Gerät installiert ist, wird der Benutzer aufgefordert, ein Update zu installieren. Dies wird verwendet, um einen Virus im Hintergrund bereitzustellen. Diese versteckte Engine wird die ausführen Trojanisches Pferd Infektion. Dadurch können die Hacker nicht nur die Kontrolle über die Maschinen übernehmen, sondern auch, um verschiedene Arten von Informationen zu entführen - persönliche Benutzerinformationen, Systemdaten und Anwendungsdaten und Cache. Mit Trojaner-Code können die Kriminellen auch Benutzerdaten stehlen und Geräteeinstellungen ändern.
Doppelagent ist die zweite Android-Malware, die von den Hackern verwendet wird. Die bestätigten Proben zeigen, dass es in virusinfizierten Kopien der gefunden wurde KakaoTalk App. In anderen Fällen wurde diese Malware in lokalen Community-Apps identifiziert. Der Malware-Code ist verschlüsselt und enthält auch Trojaner-Funktionen. Es verwendet komplexe Zeichenmuster, um seine Befehle zu verschleiern, die von den Hackern von den Remote-Servern bis zu den infizierten Geräten weitergeleitet werden können. Ein Auszug aus einigen der beliebtesten Befehle das Folgende einschließen:
- Abrufen und Hochladen von Dateien von Malware-Daten
- Datenextraktion
- Diebstahl von Datenbank- und Anwendungsdaten
- Einstellungen Modification
DoubleAgent bietet die Möglichkeit, Code in einer internen Datenbank zu protokollieren, der dann auf den von Hackern gesteuerten Server hochgeladen werden kann. Zu den Anwendungsdaten gängiger Software, die entführt werden, gehören die folgenden:
Talkbox, Habe ich, Keechat, Coco, wächst, WhatsApp, Airetalk, Viber, Telegramm, Zello, Skype, QQ, MicroMsg, MagicCall, BBM
CarbonSteal ist eine weitere Android-Spyware, die von den Hackern verwendet wird. Dies ist eine besonders gefährliche Bedrohung signierte Zertifikate um sich als legitime Anwendung zu maskieren. Dies ist eine Spyware-App aus 2017 und eingebettet in mehr als 500 Arten von Nutzlastträgern. In Bezug auf die Überwachungsfunktionen haben die Angreifer enthalten erweiterter Code das kann Audioaufzeichnung ausführen (von den eingebauten Mikrofonen). Es kann auch Steuern Sie Anwendungen per SMS die vom lokal installierten Motor empfangen und notiert werden.
Im Vergleich zu anderen ähnlichen Bedrohungen wird CarbonSteal als hochentwickelte Bedrohung für die Fähigkeit beschrieben, jedes darin enthaltene Modul zu entschlüsseln und zu verschlüsseln. Dies ermöglicht es Umgehen Sie die meisten Scans von Sicherheitsprogrammen:
- Abrufen von Anrufprotokollen, SMS / MMS-Nachrichten
- Neualterung von Geräteinformationen wie den folgenden: Modell-Metadaten, Hersteller, Produkt, SD-Kartengröße, Erinnerung, Informationen zur Datenträgernutzung, CPU-Informationen und etc..
- Abrufen von QQ-Inhalten und einer Liste der installierten Anwendung
- MiCode-Datendiebstahl
- Abrufen von Live-Standortdaten
- Abrufen und Ausführen von Befehlen für SMS-Nachrichtendaten
- Remote-Audioaufnahme
- Suche nach Multimediadateien aus dem internen und externen Speicher
- Abrufen von Netzwerkstatusinformationen
- Melden Sie sich beim Gerätestart an
- Laden von dynamischen Inhalten
Die CarbonSteal Android Spyware kann verwendet werden, um andere Viren auf den gefährdeten Computern zu installieren und sich selbst auf eine Weise zu installieren, die auch funktioniert, wenn das Energiesparen aktiviert ist.
Die letzte Android-Spyware, die von den APT15-Hackern verwendet wird, wird aufgerufen GoldenEagle das ist Forschern seitdem bekannt 2012 wo die ersten bekannten Proben davon nachgewiesen wurden. Im Laufe der Jahre wurde diese Malware mit neueren Funktionen aktualisiert. Die meisten Angriffe werden von infizierten Apps ausgeführt, einschließlich der folgenden:
Sarkuy, Sommer, du nähst, kirgzxvx, Yeltapan Luft, TIBBIYJAWHAR, Hawar.cn Nachrichten, Nur.cn News und Uigurischer Koran
Vor dem Ausführen weiterer Aktionen gehören zu den ersten Befehlen, die von der Engine gestartet werden Grunddatendiebstahl — Anrufprotokolle, SMS-Nachrichten und Kontakte. Die Informationen werden in einer Textdatei gespeichert, die an einen von Hackern gesteuerten Server weitergeleitet wird.
Funktionsreiche und aktualisierte Versionen der GoldenEagle Android-Spyware können angewiesen werden, andere Aktionen auszuführen. Beispiele sind das Herunterladen und Ausführen von schädlichen Apps. Der Status aller installierten und ausgeführten Apps und Prozesse kann extrahiert und an die Remoteangreifer gesendet werden. Verlängert Dateien und Informationen kann entführt werden - Die Daten, die von den Remote-Servern heruntergeladen werden, enthalten Multimedia-Inhalte und Kennzahlen zur Gerätenutzung. Volle Überwachungsfunktionen werden enthalten sein - Audio aufnehmen, Anrufe, Bildschirmaufnahmen und Screenshots. Zusammen mit der Möglichkeit, im Dateisystem enthaltene Daten und den externen Speicher zu entführen und Live-Standortdaten zu lesen, führt dies zu einer sehr beeindruckenden Infektion vom Typ Trojaner.
Diese effektive Kampagne der APT15-Hacking-Gruppe zeigt, wie ein hoch organisiertes Hacking-Kollektiv eine so komplexe Kampagne entwickeln und organisieren kann. In Bezug darauf sollten Android-Benutzer besonders vorsichtig sein und nur vertrauenswürdige Anwendungen installieren, die auf Malware achten, die sich als Programme in den Repositorys ausgibt.