Pesquisadores de segurança detectaram uma onda de sofisticados ataques direcionados originários do conhecido grupo de hackers APT15. Os alvos parecem ser a comunidade uigures que vive na China e, após a análise de incidentes, parece que os criminosos podem estar ligados a um contratado do governo estadual. As principais ferramentas usadas para iniciar os ataques são aplicativos de malware para Android.
O ataque de hackers do APT15 contra a minoria chinesa uigure usando spyware Android
O envolvimento recente do grupo de hackers APT15 em invasões coordenadas em larga escala parece ter sido feito com o conhecido spyware Android. As descobertas também indicam que a campanha ativa é conhecida por estar ativa desde pelo menos 2013. Isso é evidente pelo fato de que os quatro spywares do Android foram usados como armas de volta 2015.
O que sabemos sobre os hackers APT15 é que, ao longo dos anos, alcançaram a reputação de serem um dos formidáveis grupos criminosos da região asiática. Este ataque em larga escala é organizado contra a minoria étnica local uigur na China, juntamente com os tibetanos que também residem no país.. A atividade do grupo de hackers também está associada a ameaças da área de trabalho — os ataques dos hackers não estão vinculados apenas a ameaças móveis. As vítimas falam muitas línguas nas regiões em que habitam, por esse motivo, o malware está programado para ser compatível com eles:
Uigur (em todos os seus quatro scripts:
árabe, russo, Cirílico uigur e chinês), Inglês, árabe, chinês, turco, Pashto, persa, malaio, indonésio, Uzbek, e urdu / hindi.
Uma das razões pelas quais esse ataque é visto como muito eficaz é porque os vários malwares interligados do Android usam infraestrutura compartilhada que é coordenado pelos criminosos. O que sabemos sobre a campanha de ataque é que o objetivo principal é coletar informações pessoais. eles serão reunidos pelo mecanismo interno e enviados aos hackers usando uma conexão especialmente estabelecida.
Detalhes adicionais sobre a campanha APT15: Visão geral das ferramentas de spyware do Android
A campanha perigosa se concentra no uso de quatro ferramentas de spyware Android que foram detectadas pelos pesquisadores.
O primeiro é o SilkBean que foi analisado no ano passado, quando seu uso atingiu o pico pelos hackers. Isso é classificado como um Acesso remoto Trojan que, quando instalados, permitem que os criminosos executar sobre 70 diferentes tipos de comandos. É entregue através de um transportador de carga útil — aplicativos infectados que podem ser colocados em vários repositórios, redes de compartilhamento de arquivos e também postadas no site oficial do Google Play com credenciais falsas ou roubadas. Nesse sentido, uma das principais táticas empregadas pelos hackers será incorporar o código de vírus em aplicativos relacionados ao Islã.
O SilkBean está instalado em um implantação em vários estágios mascarado em um aplicação móvel teclado. Quando é instalado no dispositivo inteligente, ele solicita que o usuário instale uma atualização e isso é usado para implantar um vírus em segundo plano. Esse mecanismo oculto executará o infecção cavalo de Tróia. Isso não apenas permitirá que os hackers superem o controle das máquinas, mas também para seqüestrar diferentes tipos de informações - informações pessoais do usuário, dados do sistema e dados e cache de aplicativos. O código de Trojan permitirá que os criminosos também roubem dados do usuário e modifiquem as configurações do dispositivo.
Agente duplo é o segundo malware do Android usado pelos hackers. As amostras confirmadas indicam que foi encontrado em cópias infectadas por vírus da Aplicativo KakaoTalk. Em outros casos, esse malware foi identificado em aplicativos da comunidade local. Seu código de malware é criptografado e também inclui Recursos de Trojan. Ele usa padrões de caracteres complexos para disfarçar seus comandos, que podem ser transmitidos dos hackers dos servidores remotos aos dispositivos infectados.. Um trecho de algumas das comandos mais populares inclui o seguinte:
- Recuperação de arquivos e upload de dados de malware
- Extração de dados
- Roubo de dados de aplicativos e bancos de dados
- Modificação de configurações
O DoubleAgent inclui a capacidade de registrar código em um banco de dados interno, que pode ser carregado no servidor controlado por hackers. Os dados de aplicativos de softwares populares que serão invadidos incluem os seguintes:
Talkbox, DiDi, Keechat, Coco, cresce, Whatsapp, Airetalk, Viber, Telegrama, Zello, Skype, QQ, MicroMsg, MagicCall, BBM
CarbonSteal é outro spyware do Android usado pelos hackers. Esta é uma ameaça particularmente perigosa, pois usa certificados assinados para mascarar-se como uma aplicação legítima. Este é um aplicativo spyware que remonta a 2017 e incorporado em mais de 500 tipos de transportadores de carga útil. Em relação aos recursos de vigilância, os atacantes incluem código avançado que pode executar gravação de áudio (dos microfones embutidos). Ele também pode controlar aplicativos via mensagens SMS que são recebidos e anotados pelo mecanismo instalado localmente.
Em comparação com outras ameaças semelhantes, o CarbonSteal é descrito como uma ameaça altamente sofisticada à capacidade de descriptografar e criptografar cada módulo que contém. Isso permite que ignorar a maioria das verificações de programas de segurança:
- Recuperação de registros de chamadas, Mensagens SMS / MMS
- Recuperação de informações do dispositivo, como as seguintes: metadados do modelo, fabricante, produtos, tamanho do sdcard, memória, informações de uso do disco, informações da CPU e etc.
- Recuperação de conteúdo QQ e uma lista do aplicativo instalado
- Roubo de dados MiCode
- Recuperação de dados de localização ao vivo
- Recuperação de dados de mensagens SMS e execução de comandos
- Gravação remota de áudio
- Procurando arquivos multimídia do armazenamento interno e externo
- Recuperação de informações de status de rede
- Login na inicialização do dispositivo
- Carregamento de conteúdo dinâmico
o Spyware Android do CarbonSteal pode ser usado para instalar outros vírus nas máquinas comprometidas e também se instalar de uma maneira que também funcionará quando a economia de energia estiver ativada.
O último spyware do Android usado pelos hackers do APT15 é chamado GoldenEagle que é conhecido pelos pesquisadores desde 2012 onde foram detectadas as primeiras amostras conhecidas. Ao longo dos anos, esse malware foi atualizado com novos recursos. A maioria dos ataques é realizada por aplicativos infectados, incluindo os seguintes:
Sarkuy, verão, você está costurando, kirgzxvx, yeltapan air, TIBBIYJAWHAR, Notícias do Hawar.cn, Nur.cn News e Uyghur Quran
Antes de executar ações adicionais, um dos primeiros comandos lançados pelo mecanismo inclui roubo de dados básicos — registro de chamadas, Mensagens e contatos SMS. As informações serão salvas em um arquivo de texto que será retransmitido para um servidor controlado por hackers.
Versões ricas em recursos e atualizadas do spyware GoldenEagle Android podem ser comandadas para executar outras ações. Exemplos incluem o download e a execução de aplicativos maliciosos. O status de todos os aplicativos e processos instalados e em execução pode ser extraído e enviado aos atacantes remotos. Estendido arquivos e informações podem ser invadidos - os dados baixados dos servidores remotos incluem conteúdo multimídia e métricas de uso do dispositivo. Recursos completos de vigilância serão incluídos - gravação de áudio, chamadas, gravações de tela e capturas de tela. Juntamente com a capacidade de seqüestrar dados contidos no sistema de arquivos, armazenamento externo e ler dados de localização ao vivo, isso cria uma infecção do tipo Trojan muito formidável.
Esta campanha eficaz feita pelo grupo de hackers APT15 mostra como um coletivo de hackers altamente organizado pode conceber e organizar uma campanha tão complexa. Em relação a isso, os usuários do Android devem ter um cuidado extra e instalar apenas aplicativos confiáveis atentos a programas que representam malware nos repositórios.