Casa > Ciber Noticias > APT15 Hackers Attacked Chinese Minority With Android Spyware
CYBER NOTICIAS

Los piratas informáticos APT15 atacaron a una minoría china con spyware para Android

Los investigadores de seguridad detectaron un aumento de ataques sofisticados dirigidos que se originan en el conocido grupo de piratería APT15. Los objetivos parecen ser la comunidad uigur que vive en China y, tras el análisis de incidentes, parece que los delincuentes pueden estar vinculados a un contratista del gobierno estatal.. Las principales herramientas utilizadas para lanzar los ataques son las aplicaciones de malware de Android.




El ataque de los piratas informáticos APT15 se inició contra la minoría china uigur con el software espía de Android

La reciente participación del grupo de piratería APT15 en intrusiones coordinadas a gran escala parece hacerse utilizando el conocido software espía de Android. Los resultados también indican que se sabe que la campaña activa ha estado activa desde al menos 2013. Esto es evidente por el hecho de que se sabe que los cuatro programas espía de Android han sido utilizados como armas en 2015.

Lo que sabemos sobre los piratas informáticos APT15 es que a lo largo de los años han alcanzado la reputación de ser uno de los formidables grupos criminales en la región de Asia.. Este ataque a gran escala se organiza contra la minoría étnica uigur local en China junto con los tibetanos que también residen en el país.. La actividad del grupo de piratería también está asociada con amenazas de escritorio — los ataques de los piratas informáticos no están vinculados únicamente a las amenazas móviles. Las víctimas hablan muchos idiomas en las regiones donde habitan., Por esta razón, el malware está programado para ser compatible con ellos:

Uigur (en todos sus cuatro guiones:
Arábica, ruso, Uigur cirílico y chino), Inglés, Arábica, Chino, turco, Pashto, persa, malayo, indonesio, uzbeko, y urdu / hindi.

Una de las razones por las que este ataque es visto como muy efectivo es porque los diversos tipos de malware de Android interconectados infraestructura compartida que es coordinado por los delincuentes. Lo que sabemos sobre la campaña de ataque es que el objetivo principal es recopilar información personal. serán reunidos por el motor incorporado y luego enviados a los piratas informáticos utilizando una conexión especialmente establecida.

Relacionado: [wplinkpreview url =”https://sensorestechforum.com/evilquest-mac-ransomware-infected-app/”] EvilQuest Mac Ransomware distribuido a través de instaladores de aplicaciones infectadas

Más detalles sobre la campaña APT15: Descripción general de las herramientas de Android Spyware

La peligrosa campaña se centra en el uso de cuatro herramientas de spyware para Android que han sido detectadas por los investigadores..

La primera de ellas es la Frijol de seda que fue analizado el año pasado cuando su uso alcanzó su punto máximo en uso por los piratas informáticos. Esto se clasifica como un Remote Access Trojan que cuando están instalados permiten a los delincuentes ejecutar sobre 70 diferentes tipos de comandos. Se entrega a través de un portadora de carga útil — aplicaciones infectadas que se pueden colocar en varios repositorios, redes de intercambio de archivos y también publicado en el sitio oficial de Google Play con credenciales falsas o robadas. En este sentido, una de las tácticas principales empleadas por los piratas informáticos será incorporar el código del virus en aplicaciones relacionadas con el Islam..

SilkBean se instala en un despliegue en varias etapas enmascarado en un aplicación móvil de teclado. Cuando se instala en el dispositivo inteligente, le pedirá al usuario que instale una actualización y esto se utiliza para implementar un virus en segundo plano.. Este motor oculto ejecutará el infección de caballo de Troya. Esto no solo permitirá que los hackers superen el control de las máquinas., pero también para secuestrar diferentes tipos de información: información personal del usuario, datos del sistema y datos de la aplicación y caché. El código troyano permitirá a los delincuentes también robar datos de usuario y modificar la configuración del dispositivo.

Agente doble es el segundo malware de Android que usan los hackers. Las muestras confirmadas indican que se encontró en copias infectadas con virus del Aplicación KakaoTalk. En otros casos, este malware se ha identificado en aplicaciones de la comunidad local.. Su código de malware está encriptado y también incluye Capacidades troyanas. Utiliza patrones de caracteres complejos para disfrazar sus comandos que pueden transmitirse desde los hackers desde los servidores remotos hasta los dispositivos infectados.. Un extracto de algunos de los comandos más populares Incluya lo siguiente:

  • Recuperación de archivos y carga de datos de malware
  • Extracción de datos
  • Robo de datos de bases de datos y aplicaciones
  • ajustes de modificación de

DoubleAgent incluye la capacidad de registrar código en una base de datos interna que luego puede cargarse en el servidor controlado por piratas informáticos. Los datos de aplicación de software popular que serán secuestrados incluyen los siguientes:

Talkbox, Hice, Keechat, Coco, crece, WhatsApp, Airetalk, Viber, Telegrama, Zello, Skype, QQ, MicroMsg, MagicCall, BBM

Relacionado: [wplinkpreview url =”https://sensorestechforum.com/strongpity-spyware-turkey-syria/”] Los piratas informáticos StrongPity lanzan ataque de spyware contra objetivos de Turquía y Siria

CarbonSteal es otro spyware de Android que usan los hackers. Esta es una amenaza particularmente peligrosa ya que utiliza certificados firmados para enmascararse como una aplicación legítima. Esta es una aplicación de spyware que se remonta a 2017 e incrustado en más de 500 tipos de portadores de carga útil. En cuanto a las características de vigilancia que los atacantes tienen incluyen código avanzado que puede ejecutar grabaciones de audio (de los micrófonos incorporados). También puede controlar aplicaciones a través de mensajes SMS que son recibidos y anotados por el motor instalado localmente.

En comparación con otras amenazas similares, CarbonSteal se describe como una amenaza altamente sofisticada a la capacidad de descifrar y cifrar cada módulo que contiene. Esto le permite omitir la mayoría de los escaneos de programas de seguridad:

  • Recuperación de registros de llamadas, Mensajes SMS / MMS
  • Retirada de información del dispositivo como la siguiente: metadatos modelo, fabricante, producto, tamaño de tarjeta sd, memoria, información de uso del disco, información de la CPU y etc..
  • Recuperar contenido QQ y una lista de la aplicación instalada
  • Robo de datos MiCode
  • Recuperación de datos de ubicación en vivo
  • Mensajes SMS recuperación de datos y ejecución de comandos
  • Grabación remota de audio
  • Búsqueda de archivos multimedia desde el almacenamiento interno y externo
  • Recuperación de información de estado de red
  • Inicie sesión al iniciar el dispositivo
  • Carga de contenido dinámico.

El Software espía CarbonSteal para Android puede usarse para instalar otros virus en las máquinas comprometidas y también instalarse de una manera que también funcionará cuando se habilite el ahorro de energía.

El último spyware de Android que utilizan los hackers APT15 se llama Águila dorada que los investigadores conocen desde 2012 donde se detectaron las primeras muestras conocidas. Con los años, este malware se ha actualizado con nuevas características. La mayoría de los ataques son llevados a cabo por aplicaciones infectadas, incluidas las siguientes:

Sarkuy, Verano, estas cosiendo, kirgzxvx, aire yeltapan, TIBBIYJAWHAR, Noticias de Hawar.cn, Nur.cn News y Uyghur Quran

Antes de llevar a cabo acciones adicionales, uno de los primeros comandos que el motor inicia es robo de datos básicos — registros de llamadas, Mensajes SMS y contactos. La información se guardará en un archivo de texto que se transmitirá a un servidor controlado por piratas informáticos.

Se puede ordenar a las versiones actualizadas y ricas en funciones del software espía GoldenEagle para Android que ejecuten otras acciones. Los ejemplos incluyen la descarga y ejecución de aplicaciones maliciosas. El estado de todas las aplicaciones y procesos instalados y en ejecución se puede extraer y enviar a los atacantes remotos. Extendido archivos e información puede ser secuestrado: los datos que se descargan de los servidores remotos incluyen contenido multimedia y métricas de uso del dispositivo. Se incluirán capacidades de vigilancia completas: grabación de audio, llamadas, grabaciones de pantalla y capturas de pantalla. Junto con la capacidad de secuestrar datos contenidos en el sistema de archivos y el almacenamiento externo y leer datos de ubicación en vivo, esto hace que sea una infección de tipo troyano muy formidable.

Esta efectiva campaña realizada por el grupo de piratería APT15 muestra cómo un colectivo de piratería altamente organizado puede diseñar y organizar una campaña tan compleja. En relación con esto, los usuarios de Android deben tener mucho cuidado y solo instalar aplicaciones confiables que estén atentas a programas de suplantación de malware en los repositorios..

avatar

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...