セキュリティ研究者は、有名なAPT15ハッキンググループに起因する高度な標的型攻撃の急増を検出しました. 標的は中国に住むウイグル人コミュニティであるようであり、事件分析の結果、犯罪者は州政府の請負業者に関係している可能性があるようです。. 攻撃を開始するために使用される主なツールは、Androidマルウェアアプリです。.
Androidスパイウェアを使用してウイグル人の中国人マイノリティに対してAPT15ハッカーの攻撃が開始されました
協調的な大規模な侵入へのAPT15ハッキンググループの最近の関与は、有名なAndroidスパイウェアを使用して行われているようです。. 調査結果はまた、アクティブなキャンペーンが少なくとも以来アクティブであったことが知られていることを示しています 2013. これは、4つのAndroidスパイウェアが以前に武器として使用されていたことが知られているという事実から明らかです。 2015.
APT15ハッカーについて私たちが知っていることは、何年にもわたって、彼らはアジア地域の手ごわい犯罪グループの1つであるという評判に達しているということです。. この大規模な攻撃は、中国に住むチベット人とともに、中国の地元のウイグル人の少数民族に対して組織されています。. ハッキンググループの活動は、デスクトップの脅威にも関連しています — ハッカーの攻撃は、モバイルの脅威だけに結び付けられているわけではありません. 犠牲者は彼らが住む地域全体で多くの言語を話します, このため、マルウェアはそれらと互換性があるようにプログラムされています:
ウイグル (4つのスクリプトすべてで:
アラビア語, ロシア, ウイグル語のキリル文字と中国語), 英語, アラビア語, 中国語, トルコ語, パシュトゥー語, ペルシア語, マレー語, インドネシア語, ウズベク語, ウルドゥー語/ヒンディー語.
この攻撃が非常に効果的であると見なされる理由の1つは、相互にリンクされたさまざまなAndroidマルウェアが使用しているためです。 共有インフラストラクチャ それは犯罪者によって調整されます. 攻撃キャンペーンについて私たちが知っていることは、 主な目標は個人情報を収集することです. それらは組み込みのエンジンによって収集され、特別に確立された接続を使用してハッカーに送信されます.
APT15キャンペーンの詳細: Androidスパイウェアツールの概要
危険なキャンペーンは、研究者によって検出された4つのAndroidスパイウェアツールの使用に焦点を当てています.
最初のものは SilkBean 昨年、ハッカーによる使用がピークに達したときに分析されました. これは、 リモートアクセス型トロイの木馬 これをインストールすると、犯罪者は 実行する 70 さまざまな種類のコマンド. それは経由で配信されます ペイロードキャリア — さまざまなリポジトリに配置できる感染したアプリケーション, ファイル共有ネットワーク、および偽のまたは盗まれた資格情報を使用して公式のGooglePlayサイトに投稿される. この点で、ハッカーが採用する主な戦術の1つは、イスラム教関連のアプリケーションにウイルスコードを埋め込むことです。.
SilkBeanはにインストールされます いくつかの段階の展開 でマスクされた キーボードモバイルアプリケーション. スマートデバイスにインストールすると、ユーザーにアップデートのインストールを求められます。これは、バックグラウンドでウイルスを展開するために使用されます。. この隠されたエンジンは、 トロイの木馬感染. これにより、ハッカーがマシンの制御を追い抜くことができるようになるだけではありません。, さまざまな種類の情報(個人ユーザー情報)を乗っ取るためにも, システムデータとアプリケーションデータとキャッシュ. トロイの木馬コードにより、犯罪者はユーザーデータを盗んだり、デバイスの設定を変更したりすることもできます。.
DoubleAgent ハッカーが使用する2番目のAndroidマルウェアです. 確認されたサンプルは、ウイルスに感染したコピーで見つかったことを示しています。 カカオトークアプリ. その他の場合、このマルウェアはローカルコミュニティアプリで識別されています. そのマルウェアコードは暗号化されており、 トロイの木馬の機能. ハッカーからリモートサーバーから感染したデバイスに中継される可能性のあるコマンドを偽装するために、複雑な文字パターンを使用します. いくつかの抜粋 最も人気のあるコマンド 以下のものが含まれます:
- ファイルの取得とマルウェアデータのアップロード
- データ抽出
- データベースとアプリケーションのデータの盗難
- 設定の変更
DoubleAgentには、ハッカーが制御するサーバーにアップロードできる内部データベースにコードを記録する機能が含まれています。. ハイジャックされる人気のあるソフトウェアのアプリケーションデータは次のとおりです。:
トークボックス, 滴滴出行, キーチャット, ココ, ボクサー, WhatsApp, Airetalk, Viber, 電報, Zello, Skype, QQ, MicroMsg, MagicCall, BBM
CarbonSteal ハッカーが使用する別のAndroidスパイウェアです. これは、使用するときに特に危険な脅威です 署名された証明書 正当なアプリケーションとして自分自身を隠すために. これは、にさかのぼるスパイウェアアプリです 2017 と以上に埋め込まれています 500 ペイロードキャリアの種類. 攻撃者が持っている監視機能に関して 高度なコード 録音を実行できる (内蔵マイクから). それはまたすることができます SMSメッセージを介してアプリケーションを制御する ローカルにインストールされたエンジンによって受信され、記録されます.
他の同様の脅威と比較して、CarbonStealは、含まれる各モジュールを復号化および暗号化する機能に対する非常に高度な脅威として説明されています。. これにより、 ほとんどのセキュリティプログラムスキャンをバイパスする:
- 通話記録の取得, SMS/MMSメッセージ
- 次のようなデバイス情報の取得: モデルメタデータ, メーカー, 製品, SDカードのサイズ, メモリー, ディスク使用量情報, CPU情報など.
- QQコンテンツの取得とインストールされているアプリケーションのリスト
- MiCodeデータの盗難
- ライブロケーションデータの取得
- SMSメッセージデータの取得とコマンドの実行
- リモートオーディオ録音
- 内部および外部ストレージからマルチメディアファイルを検索する
- ネットワークステータス情報の取得
- デバイスの起動時にログインする
- 動的コンテンツの読み込み
The CarbonStealAndroidスパイウェア 侵入先のマシンに他のウイルスをインストールするために使用でき、省電力が有効になっている場合にも機能する方法で自分自身をインストールすることもできます.
APT15ハッカーが使用する最後のAndroidスパイウェアは ゴールデンイーグル 以来、研究者に知られています 2012 その最初の既知のサンプルが検出された場所. 何年にもわたって、このマルウェアは新しい機能で更新されてきました. 攻撃の大部分は、次のような感染したアプリによって実行されます:
サルクイ, タワリム, uyhurqa, kirgzxvx, yeltapan空気, TIBBIYJAWHAR, Hawar.cnニュース, Nur.cnニュースとウイグルコーラン
さらにアクションを実行する前に、エンジンによって起動される最初のコマンドの1つは次のとおりです。 基本的なデータの盗難 — コールログ, SMSメッセージと連絡先. 情報はテキストファイルに保存され、ハッカーが制御するサーバーに中継されます。.
機能が豊富で更新されたバージョンのGoldenEagleAndroidスパイウェアは、他のアクションを実行するように命令できます. 例としては、悪意のあるアプリのダウンロードと実行があります. インストールおよび実行中のすべてのアプリとプロセスのステータスを抽出して、リモートの攻撃者に送信できます. 拡張 ファイルと情報 ハイジャックされる可能性があります—リモートサーバーからダウンロードされるデータには、マルチメディアコンテンツとデバイス使用状況のメトリックが含まれます. 完全な監視機能が含まれます–音声の録音, 呼び出し, 画面の記録とスクリーンショット. ファイルシステムと外部ストレージに含まれるデータをハイジャックし、ライブロケーションデータを読み取る機能に加えて、これは非常に手ごわいトロイの木馬タイプの感染を引き起こします.
APT15ハッキンググループによって行われたこの効果的なキャンペーンは、高度に組織化されたハッキング集団がこのような複雑なキャンペーンを考案および組織化する方法を示しています。. このAndroidに関連して、ユーザーは特に注意して、リポジトリ上のマルウェアになりすますプログラムに注意する信頼できるアプリケーションのみをインストールする必要があります。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: