I ricercatori della sicurezza hanno rilevato un'ondata di sofisticati attacchi mirati originati dal noto gruppo di hacking APT15. Gli obiettivi sembrano essere la comunità uigura che vive in Cina e, a seguito dell'analisi degli incidenti, sembra che i criminali possano essere collegati a un appaltatore del governo statale. Gli strumenti principali utilizzati per lanciare gli attacchi sono le app malware Android.
Gli hacker APT15 attaccano contro la minoranza cinese uigura usando spyware Android
Il recente coinvolgimento del gruppo di hacker APT15 in intrusioni coordinate su larga scala sembra essere stato fatto usando il noto spyware Android. I risultati indicano anche che la campagna attiva è nota per essere attiva da almeno 2013. Ciò è evidente dal fatto che i quattro spyware Android sono stati conosciuti per essere stati utilizzati come armi 2015.
Quello che sappiamo degli hacker APT15 è che nel corso degli anni hanno raggiunto la reputazione di essere uno dei formidabili gruppi criminali nella regione asiatica. Questo attacco su larga scala è organizzato contro la minoranza etnica uigura locale in Cina insieme ai tibetani che risiedono anche nel paese. L'attività del gruppo di hacking è associata anche alle minacce desktop — gli attacchi degli hacker non sono legati esclusivamente a minacce mobili. Le vittime parlano molte lingue nelle regioni in cui vivono, per questo motivo i malware sono programmati per essere compatibili con loro:
Uyghur (in tutti i suoi quattro script:
Arabo, russo, Uyghur cirillico e cinese), Inglese, Arabo, Cinese, Turco, Pashto, persiano, malese, indonesiano, Uzbek, e Urdu / Hindi.
Uno dei motivi per cui questo attacco è considerato molto efficace è perché i vari malware Android collegati tra loro infrastruttura condivisa che è coordinato dai criminali. Quello che sappiamo della campagna di attacco è quello l'obiettivo principale è quello di raccogliere informazioni personali. saranno raccolti dal motore integrato e quindi inviati agli hacker utilizzando una connessione appositamente stabilita.
Ulteriori dettagli sulla campagna APT15: Panoramica degli strumenti spyware Android
La pericolosa campagna si concentra sull'uso di quattro strumenti spyware Android che sono stati rilevati dai ricercatori.
Il primo è il SilkBean che è stato analizzato l'anno scorso quando il suo utilizzo ha raggiunto il picco in uso dagli hacker. Questo è classificato come a Remote Access Trojan che una volta installato consente ai criminali di eseguire oltre 70 diversi tipi di comandi. Viene consegnato tramite a carrier payload — applicazioni infette che possono essere collocate in vari repository, reti di condivisione file e pubblicate anche sul sito ufficiale di Google Play con credenziali false o rubate. A questo proposito, una delle principali tattiche impiegate dagli hacker sarà incorporare il codice del virus nelle applicazioni relative all'Islam.
SilkBean è installato in a distribuzione in più fasi mascherato in a applicazione mobile tastiera. Quando viene installato nel dispositivo intelligente, verrà chiesto all'utente di installare un aggiornamento e questo viene utilizzato per distribuire un virus in background. Questo motore nascosto eseguirà il infezione cavallo di Troia. Ciò non solo consentirà agli hacker di superare il controllo delle macchine, ma anche per dirottare diversi tipi di informazioni: informazioni personali dell'utente, dati di sistema e dati dell'applicazione e cache. Il codice trojan consentirà ai criminali di rubare anche i dati degli utenti e modificare le impostazioni del dispositivo.
DoubleAgent è il secondo malware Android utilizzato dagli hacker. I campioni confermati indicano che è stato trovato in copie infette da virus KakaoTalk app. In altri casi questo malware è stato identificato nelle app della comunità locale. Il suo codice malware è crittografato e include anche Funzionalità Trojan. Utilizza schemi di caratteri complessi per mascherare i suoi comandi che possono essere trasmessi dagli hacker dai server remoti ai dispositivi infetti. Un estratto di alcuni dei comandi più popolari include il seguente:
- Recupero dei file e caricamento dei dati sui malware
- Estrazione dati
- Furto di dati di database e applicazioni
- impostazioni Modifica
DoubleAgent include la possibilità di registrare il codice in un database interno che può quindi essere caricato sul server controllato dagli hacker. I dati dell'applicazione del software popolare che saranno dirottati includono quanto segue:
talkbox, DiDi, Keechat, cocco, cresce, WhatsApp, Airetalk, Viber, Telegramma, Zello, Skype, QQ, MicroMsg, MagicCall, BBM
CarbonSteal è un altro spyware Android utilizzato dagli hacker. Questa è una minaccia particolarmente pericolosa in quanto utilizza certificati firmati al fine di mascherarsi come un'applicazione legittima. Questa è un'app spyware che risale al 2017 e incorporato in più di 500 tipi di portatori di payload. Per quanto riguarda le funzionalità di sorveglianza che includono gli aggressori codice avanzato che può eseguire la registrazione audio (dai microfoni integrati). Io posso anche controllare le applicazioni tramite messaggi SMS che vengono ricevuti e annotati dal motore installato localmente.
In confronto ad altre minacce simili, CarbonSteal è descritto come una minaccia altamente sofisticata alla capacità di decrittografare e crittografare ogni modulo che contiene. Questo gli permette di ignora la maggior parte delle scansioni dei programmi di sicurezza:
- Recupero dei registri delle chiamate, Messaggi SMS / MMS
- Recupero di informazioni sul dispositivo come il seguente: metadati del modello, fabbricante, prodotto, dimensione sdcard, memoria, informazioni sull'utilizzo del disco, informazioni sulla cpu ecc.
- Recupero del contenuto QQ e un elenco dell'applicazione installata
- Furto di dati MiCode
- Recupero dati posizione live
- Recupero dei dati dei messaggi SMS ed esecuzione dei comandi
- Registrazione audio remota
- Ricerca di file multimediali dalla memoria interna ed esterna
- Recupero di informazioni sullo stato della rete
- Accedi all'avvio del dispositivo
- Caricamento di contenuti dinamici
Il Spyware Android CarbonSteal può essere utilizzato per installare altri virus sui computer compromessi e installarsi in un modo che funzioni anche quando è abilitato il risparmio energetico.
Viene chiamato l'ultimo spyware Android utilizzato dagli hacker APT15 Aquila reale che è noto ai ricercatori da allora 2012 dove sono stati rilevati i primi campioni noti di esso. Nel corso degli anni questo malware è stato aggiornato con nuove funzionalità. La maggior parte degli attacchi viene eseguita da app infette, tra cui le seguenti:
Sarkuy, Estate, stai cucendo, kirgzxvx, yeltapan air, TIBBIYJAWHAR, Notizie Hawar.cn, Nur.cn News e Uyghur Quran
Prima di eseguire ulteriori azioni, include uno dei primi comandi lanciati dal motore furto di dati di base — Registro chiamate, SMS e contatti. Le informazioni verranno salvate in un file di testo che verrà inoltrato a un server controllato dagli hacker.
Versioni ricche di funzionalità e aggiornate dello spyware GoldenEagle per Android possono essere comandate per eseguire altre azioni. Gli esempi includono il download e l'esecuzione di app dannose. Lo stato di tutte le app e i processi installati e in esecuzione può essere estratto e inviato agli aggressori remoti. estesa file e informazioni possono essere dirottati: i dati scaricati dai server remoti includono contenuti multimediali e metriche di utilizzo del dispositivo. Saranno incluse le funzionalità di sorveglianza complete: registrazione audio, chiamate, registrazioni di schermate e schermate. Insieme alla capacità di dirottare i dati contenuti nel file system e di archiviazione esterna e di leggere i dati di localizzazione in tempo reale, si ottiene un'infezione formidabile di tipo Trojan.
Questa efficace campagna realizzata dal gruppo di hacking APT15 mostra come un collettivo di hacking altamente organizzato può ideare e organizzare una campagna così complessa. In relazione a questo, gli utenti Android dovrebbero fare molta attenzione e installare solo applicazioni attendibili, facendo attenzione ai programmi che rappresentano malware nei repository.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: