Accueil > Nouvelles Cyber > Des pirates informatiques d'APT15 ont attaqué une minorité chinoise avec un logiciel espion Android
CYBER NOUVELLES

Les hackers d'APT15 ont attaqué une minorité chinoise avec un logiciel espion Android

Des chercheurs en sécurité ont détecté une vague d'attaques ciblées sophistiquées provenant du célèbre groupe de piratage APT15. Les cibles semblent être la communauté ouïghoure vivant en Chine et après l'analyse des incidents, il semble que les criminels pourraient être liés à un contractant du gouvernement de l'État. Les principaux outils utilisés pour lancer les attaques sont les applications malveillantes Android.




L'attaque des hackers APT15 contre la minorité chinoise ouïghoure utilisant un logiciel espion Android

L'implication récente du groupe de piratage APT15 dans des intrusions coordonnées à grande échelle semble se faire à l'aide de logiciels espions Android bien connus. Les résultats indiquent également que la campagne active est connue pour avoir été active depuis au moins 2013. Cela est évident du fait que les quatre logiciels espions Android ont été utilisés comme armes de retour 2015.

Ce que nous savons des pirates APT15, c'est qu'au fil des ans, ils ont acquis la réputation d'être l'un des redoutables groupes criminels de la région Asie.. Cette attaque à grande échelle est organisée contre la minorité ethnique ouïghoure locale en Chine ainsi que contre les Tibétains qui résident également dans le pays.. L'activité du groupe de piratage est également associée à des menaces de bureau — les attaques des pirates ne sont pas uniquement liées aux seules menaces mobiles. Les victimes parlent beaucoup de langues dans les régions qu'elles habitent, pour cette raison, les logiciels malveillants sont programmés pour être compatibles avec eux:

Ouïghour (dans ses quatre scripts:
Arabe, russe, Ouïghour cyrillique et chinois), Anglais, Arabe, Chinois, turc, Pachto, persan, malais, indonésien, Ouzbek, et ourdou / hindi.

L'une des raisons pour lesquelles cette attaque est considérée comme très efficace est que les différents logiciels malveillants Android liés entre eux infrastructure partagée qui est coordonné par les criminels. Ce que nous savons de la campagne d'attaque, c'est que l'objectif principal est de recueillir des informations personnelles. ils seront rassemblés par le moteur intégré puis envoyés aux pirates à l'aide d'une connexion spécialement établie.

en relation: [wplinkpreview url =”https://sensorstechforum.com/evilquest-mac-ransomware-infected-app/”] EvilQuest Mac Ransomware distribué via des programmes d'installation d'applications infectés

Plus de détails sur la campagne APT15: Présentation des outils de spywares Android

La campagne dangereuse se concentre sur l'utilisation de quatre outils de spyware Android qui ont été détectés par les chercheurs.

Le premier est la SilkBean qui a été analysé l'année dernière lorsque son utilisation a atteint un sommet d'utilisation par les pirates. Ceci est classé comme Remote Access Trojan qui une fois installés permettent aux criminels de exécuter plus 70 différents types de commandes. Il est livré via un support de la charge utile — applications infectées pouvant être placées dans divers référentiels, réseaux de partage de fichiers et également publié sur le site officiel de Google Play avec des informations d'identification fausses ou volées. À cet égard, l'une des principales tactiques utilisées par les pirates sera d'intégrer le code du virus dans les applications liées à l'islam.

SilkBean est installé dans un déploiement en plusieurs étapes masqué dans un application mobile clavier. Lorsqu'il est installé dans l'appareil intelligent, il demandera à l'utilisateur d'installer une mise à jour et celle-ci est utilisée pour déployer un virus en arrière-plan. Ce moteur caché exécutera le infection cheval de Troie. Cela permettra non seulement aux pirates de prendre le contrôle des machines, mais aussi pour détourner différents types d'informations - informations personnelles de l'utilisateur, données système et données d'application et cache. Le code de cheval de Troie permettra aux criminels de voler également des données utilisateur et de modifier les paramètres de l'appareil.

Agent double est le deuxième malware Android utilisé par les pirates. Les échantillons confirmés indiquent qu'il a été trouvé dans des copies infectées par le virus du Application KakaoTalk. Dans d'autres cas, ce malware a été identifié dans les applications de la communauté locale. Son code malveillant est crypté et comprend également Capacités des chevaux de Troie. Il utilise des modèles de caractères complexes afin de masquer ses commandes qui peuvent être relayées par les pirates des serveurs distants jusqu'aux périphériques infectés.. Un extrait de certains des commandes les plus populaires inclure les éléments suivants:

  • Récupération de fichiers et téléchargement de données de logiciels malveillants
  • Extraction de données
  • Vol de bases de données et d'applications
  • Modification des paramètres

DoubleAgent inclut la possibilité de consigner le code dans une base de données interne qui peut ensuite être téléchargée sur le serveur contrôlé par les pirates. Les données d'application des logiciels populaires qui seront détournés sont les suivantes:

Talkbox, Ai-je, Keechat, coco, grandit, WhatsApp, Airetalk, Viber, Télégramme, Zello, Skype, QQ, MicroMsg, MagicCall, BBM

en relation: [wplinkpreview url =”https://sensorstechforum.com/strongpity-spyware-turkey-syria/”] StrongPity Hackers lance une attaque de logiciels espions contre les cibles de la Turquie et de la Syrie

CarbonSteal est un autre logiciel espion Android utilisé par les pirates. Il s'agit d'une menace particulièrement dangereuse car elle utilise certificats signés afin de se masquer comme une application légitime. Ceci est une application de spyware qui remonte à 2017 et intégré dans plus de 500 types de porteurs de charge utile. En ce qui concerne les fonctionnalités de surveillance, les attaquants ont inclus code avancé qui peut exécuter l'enregistrement audio (des microphones intégrés). Ça peut aussi contrôler les applications par SMS qui sont reçus et notés par le moteur installé localement.

En comparaison avec d'autres menaces similaires, CarbonSteal est décrit comme une menace hautement sophistiquée pour la capacité de décrypter et de crypter chaque module qu'il contient. Celui-ci permet d' contourner la plupart des analyses de programmes de sécurité:

  • Récupération des journaux d'appels, Messages SMS / MMS
  • Informations médiévales sur l'appareil telles que les suivantes: métadonnées de modèle, fabricant, produit, taille de la carte SD, Mémoire, informations sur l'utilisation du disque, informations CPU et etc.
  • Récupération du contenu QQ et une liste de l'application installée
  • Vol de données MiCode
  • Récupération des données de localisation en direct
  • Récupération des données des messages SMS et exécution des commandes
  • Enregistrement audio à distance
  • Recherche de fichiers multimédias à partir du stockage interne et externe
  • Récupération des informations sur l'état du réseau
  • Connectez-vous au démarrage de l'appareil
  • Chargement de contenu dynamique

La Logiciel espion Android CarbonSteal peut être utilisé pour installer d'autres virus sur les machines compromises et également s'installer d'une manière qui fonctionnera également lorsque l'économie d'énergie est activée.

Le dernier logiciel espion Android utilisé par les pirates APT15 s'appelle Aigle en or qui est connu des chercheurs depuis 2012 où les premiers échantillons connus ont été détectés. Au fil des ans, ce malware a été mis à jour avec de nouvelles fonctionnalités. La majorité des attaques sont portées par des applications infectées, notamment les suivantes:

Sarkuy, Été, tu couds, kirgzxvx, yeltapan air, TIBBIYJAWHAR, Hawar.cn News, Nur.cn News et Uyghur Quran

Avant d'effectuer d'autres actions, l'une des premières commandes lancées par le moteur comprend: vol de données de base — les journaux d'appels, Messages SMS et contacts. Les informations seront enregistrées dans un fichier texte qui sera relayé vers un serveur contrôlé par un pirate.

Des versions riches en fonctionnalités et mises à jour du logiciel espion Android GoldenEagle peuvent être commandées pour exécuter d'autres actions. Les exemples incluent le téléchargement et l'exécution d'applications malveillantes. Le statut de toutes les applications et processus installés et en cours d'exécution peut être extrait et envoyé aux attaquants distants. Élargi fichiers et informations peut être détourné - les données qui sont téléchargées à partir des serveurs distants incluent le contenu multimédia et les mesures d'utilisation de l'appareil. Des capacités de surveillance complètes seront incluses - enregistrement audio, appels, enregistrements d'écran et captures d'écran. Avec la possibilité de détourner les données contenues dans le système de fichiers et le stockage externe et la lecture des données de localisation en direct, cela crée une infection de type cheval de Troie très redoutable.

Cette campagne efficace réalisée par le groupe de piratage APT15 montre comment un collectif de piratage hautement organisé peut concevoir et organiser une campagne aussi complexe. Par rapport à cela, les utilisateurs d'Android doivent être extrêmement prudents et installer uniquement des applications de confiance en surveillant les programmes d'usurpation d'identité de logiciels malveillants sur les référentiels.

avatar

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...