Beveiligingsonderzoekers ontdekten een golf van geavanceerde gerichte aanvallen die afkomstig zijn van de bekende APT15-hackgroep. De doelen lijken de Oeigoerse gemeenschap te zijn die in China woont en na analyse van incidenten lijkt het erop dat de criminelen in verband kunnen worden gebracht met een contractant van de staat. De belangrijkste tools die worden gebruikt om de aanvallen uit te voeren, zijn Android-malware-apps.
De APT15-hackersaanval tegen de Oeigoerse Chinese minderheid met Android-spyware
De recente betrokkenheid van de APT15-hackgroep bij gecoördineerde grootschalige inbraken lijkt te worden gedaan met behulp van bekende Android-spyware. De bevindingen geven ook aan dat bekend is dat de actieve campagne althans actief is geweest 2013. Dit blijkt uit het feit dat bekend is dat de vier Android-spyware is gebruikt als wapens 2015.
Wat we weten over de APT15-hackers, is dat ze in de loop der jaren een reputatie hebben opgebouwd als een van de formidabele criminele groepen in de regio Azië. Deze grootschalige aanval wordt georganiseerd tegen de lokale Oeigoerse etnische minderheid in China, samen met de Tibetanen die ook in het land wonen. De activiteit van de hackgroep wordt ook geassocieerd met desktopbedreigingen — de aanvallen van de hackers zijn niet alleen gebonden aan alleen mobiele dreigingen. De slachtoffers spreken veel talen in de regio's die ze bewonen, om deze reden is de malware geprogrammeerd om ermee compatibel te zijn:
Oeigoers (in al zijn vier scripts:
Arabisch, Russisch, Uyghur Cyrillisch en Chinees), Engels, Arabisch, Chinees, Turks, Pasjtoe, Perzisch, Maleis, Indonesisch, Oezbeeks, en Urdu / Hindi.
Een van de redenen waarom deze aanval als zeer effectief wordt beschouwd, is omdat de verschillende onderling verbonden Android-malware wordt gebruikt gedeelde infrastructuur dat wordt gecoördineerd door de criminelen. Wat we weten over de aanvalscampagne is dat het belangrijkste doel is om persoonlijke informatie te verzamelen. ze worden verzameld door de ingebouwde engine en vervolgens naar de hackers gestuurd via een speciaal tot stand gebrachte verbinding.
Verdere details over de APT15-campagne: Overzicht van de Android Spyware Tools
De gevaarlijke campagne richt zich op het gebruik van vier Android-spywaretools die door de onderzoekers zijn gedetecteerd.
De eerste is de SilkBean die vorig jaar werd geanalyseerd toen het gebruik ervan door hackers een hoogtepunt bereikte. Dit is gecategoriseerd als een Remote Access Trojan die bij installatie de criminelen toestaan uitvoeren over 70 verschillende soorten opdrachten. Het wordt geleverd via een payload carrier — geïnfecteerde applicaties die in verschillende repositories kunnen worden geplaatst, netwerken voor het delen van bestanden en ook op de officiële Google Play-site geplaatst met valse of gestolen inloggegevens. In dit opzicht zal een van de belangrijkste tactieken van de hackers de viruscode inbedden in islamgerelateerde applicaties.
SilkBean is geïnstalleerd in een inzet in meerdere fasen gemaskeerd in een toetsenbord mobiele applicatie. Wanneer het op het smartapparaat is geïnstalleerd, wordt de gebruiker gevraagd om een update te installeren en dit wordt gebruikt om een virus op de achtergrond te implementeren. Deze verborgen engine zal de Trojaans paard infectie. Hierdoor kunnen de hackers niet alleen de controle over de machines overnemen, maar ook om verschillende soorten informatie te kapen - persoonlijke gebruikersinformatie, systeemgegevens en toepassingsgegevens en cache. Met de Trojaanse code kunnen de criminelen ook gebruikersgegevens stelen en apparaatinstellingen wijzigen.
Dubbel agent is de tweede Android-malware die door de hackers wordt gebruikt. De bevestigde monsters geven aan dat het werd aangetroffen in met virus geïnfecteerde kopieën van de KakaoTalk-app. In andere gevallen is deze malware geïdentificeerd in apps van de lokale gemeenschap. De malwarecode is gecodeerd en bevat ook Trojaanse mogelijkheden. Het gebruikt complexe karakterpatronen om zijn commando's te verbergen die kunnen worden doorgegeven van de hackers van de externe servers naar de geïnfecteerde apparaten. Een uittreksel van enkele van de meest populaire opdrachten onder meer de volgende:
- Bestanden ophalen en uploaden van malwaregegevens
- Data-extractie
- Diefstal van databases en toepassingsgegevens
- Aanpassing van
DoubleAgent biedt de mogelijkheid om code te loggen in een interne database die vervolgens kan worden geüpload naar de door hackers bestuurde server. Toepassingsgegevens van populaire software die wordt gekaapt, zijn onder meer::
Talkbox, DiDi, Keechat, Coco, groeit, WhatsApp, Airetalk, Viber, Telegram, Zello, Skype, QQ, MicroMsg, MagicCall, BBM
CarbonSteal is een andere Android-spyware die door de hackers wordt gebruikt. Dit is een bijzonder gevaarlijke bedreiging die wordt gebruikt ondertekende certificaten om zichzelf te maskeren als legitieme applicatie. Dit is een spyware-app die dateert uit 2017 en ingebed in meer dan 500 soorten ladingdragers. Wat betreft de bewakingsfuncties die de aanvallers hebben, zijn onder meer geavanceerde code die audio-opname kan uitvoeren (van de ingebouwde microfoons). Het kan ook applicaties beheren via sms-berichten die worden ontvangen en genoteerd door de lokaal geïnstalleerde engine.
In vergelijking met andere vergelijkbare bedreigingen wordt CarbonSteal beschreven als een zeer geavanceerde bedreiging voor het vermogen om elke module die het bevat te decoderen en versleutelen. Dit maakt het mogelijk om omzeil de meeste scans van het beveiligingsprogramma:
- Ophalen van oproeplogboeken, Sms / mms-berichten
- Retieval van apparaatinformatie zoals de volgende: model metadata, fabrikant, artikel, sdcard formaat, geheugen, informatie over schijfgebruik, cpu informatie en etc.
- Retrievala van QQ-inhoud en een lijst van de geïnstalleerde applicatie
- MiCode-gegevensdiefstal
- Live locatiegegevens ophalen
- SMS-berichten ophalen van gegevens en uitvoeren van opdrachten
- Audio-opname op afstand
- Zoeken naar multimediabestanden vanuit de interne en externe opslag
- Netwerkstatusinformatie ophalen
- Log in bij het opstarten van het apparaat
- Laden van dynamische inhoud
Het CarbonSteal Android-spyware kan worden gebruikt om andere virussen op de besmette machines te installeren en zichzelf ook te installeren op een manier die ook werkt wanneer energiebesparing is ingeschakeld.
De laatste Android-spyware die door de APT15-hackers wordt gebruikt, wordt genoemd Gouden arend die sindsdien bekend is bij onderzoekers 2012 waar de eerste bekende monsters ervan werden gedetecteerd. In de loop der jaren is deze malware bijgewerkt met nieuwere functies. De meeste aanvallen worden uitgevoerd door geïnfecteerde apps, waaronder de volgende:
Sarkuy, Zomer, u naait, kirgzxvx, yeltapan lucht, TIBBIYJAWHAR, Hawar.cn Nieuws, Nur.cn News en Uyghur Quran
Voordat u verdere acties uitvoert, is een van de eerste opdrachten die door de engine worden gestart, inbegrepen diefstal van basisgegevens — call logs, Sms-berichten en contacten. De informatie wordt opgeslagen in een tekstbestand dat wordt doorgestuurd naar een door een hacker bestuurde server.
Functierijke en bijgewerkte versies van de GoldenEagle Android-spyware kunnen worden opgedragen om andere acties uit te voeren. Voorbeelden zijn het downloaden en uitvoeren van kwaadaardige apps. De status van alle geïnstalleerde en actieve apps en processen kan worden geëxtraheerd en naar de externe aanvallers worden gestuurd. Uitgebreid bestanden en informatie kan worden gekaapt: de gegevens die van de externe servers worden gedownload, omvatten multimedia-inhoud en apparaatgebruiksstatistieken. Volledige bewakingsmogelijkheden worden opgenomen - audio opnemen, gesprekken, schermopnames en screenshots. Samen met de mogelijkheid om gegevens op het bestandssysteem en externe opslag te kapen en live locatiegegevens te lezen, zorgt dit voor een zeer formidabele Trojan-infectie.
Deze effectieve campagne van de APT15 hackgroep laat zien hoe een goed georganiseerd hackercollectief zo'n complexe campagne kan bedenken en organiseren. In verband hiermee moeten Android-gebruikers extra voorzichtig zijn en alleen vertrouwde applicaties installeren die uitkijken voor malware die zich voordoet als programma's op de repository's.