Çin devlet destekli APT41 bilgisayar korsanlığı grubu, Lookout güvenlik araştırmacıları tarafından WyrmSpy ve DragonEgg olarak adlandırılan yeni keşfedilen iki casus yazılım türüyle Android cihazları hedefliyor.
APT41, ABD, Asya ve Avrupa’daki çeşitli endüstrileri hedef alan bir geçmişe sahip en eski devlet bilgisayar korsanlığı gruplarından biridir.
Yazılım geliştirme, donanım üretimi, düşünce kuruluşları, telekomünikasyon şirketleri, üniversiteler ve yabancı hükümetler dahil olmak üzere çeşitli endüstri sektörlerindeki kuruluşlara karşı siber casusluk operasyonları yürütmeleriyle tanınırlar.
Grup, birden fazla siber güvenlik şirketi tarafından çeşitli isimler altında izlendi. Kaspersky, saldırılarında kullanılan kötü amaçlı yazılımı belirlemek için Winnti olarak 2012’den beri etkinliklerini izliyor.
Benzer şekilde Mandiant da 2014’ten beri onları izliyor ve faaliyetlerinin BARIUM gibi diğer bilinen Çinli bilgisayar korsanlığı gruplarıyla örtüştüğünü fark etti.
ABD Adalet Bakanlığı, Eylül 2020’de APT41 ile bağlantılı beş Çinli uyrukluyu 100’den fazla şirkete yönelik siber saldırılara karışmakla suçladı.
Lookout bu hafta yayınlanan bir raporda, “Ulus-devlet destekli birçok APT grubunun aksine, APT41’in hem devlet kurumlarını casusluk için hem de farklı özel kuruluşları mali kazanç için tehlikeye atma konusunda bir geçmişi var” dedi.
Android casus yazılım bağlantısı
APT41 bilgisayar korsanları genellikle hedeflerinin ağlarını savunmasız web uygulamaları ve İnternet’e açık uç noktalar aracılığıyla ihlal ederken, Lookout grubun ayrıca WyrmSpy ve DragonEgg casus yazılım türleri ile Android cihazları hedef aldığını söylüyor.
Lookout, WyrmSpy’ı ilk olarak 2017’de ve DragonEgg’i 2021’in başlarında tespit etti ve en son örnek Nisan 2023’e kadar uzanıyor.
Her iki Android kötü amaçlı yazılım türü de, ikincil yükleri dağıttıktan sonra güvenliği ihlal edilmiş Android cihazlarda etkinleştirilen kapsamlı veri toplama ve veri hırsızlığı yetenekleriyle birlikte gelir.
WyrmSpy kendisini varsayılan bir işletim sistemi uygulaması olarak gizlerken, DragonEgg üçüncü taraf klavye veya mesajlaşma uygulamaları olarak kamufle edilir ve bu kılıklarla tespit edilmekten kurtulur.
İki kötü amaçlı yazılım türü aynı zamanda örtüşen Android imzalama sertifikalarını paylaşarak tek bir tehdit aktörüne olan bağlantılarını güçlendirir.
Lookout, 121.42.149 ile bir komut ve kontrol (C2) sunucusu bulduktan sonra APT41 ile olan bağlantılarını keşfetti.[.]52 IP adresi (vpn2.umisen’e çözümleniyor[.]com etki alanı ve kötü amaçlı yazılım kaynak koduna sabit kodlanmış).
Sunucu, ABD Adalet Bakanlığı’nın Eylül 2020 iddianamesinde ortaya çıktığı gibi, Mayıs 2014 ile Ağustos 2020 arasında APT41’in saldırı altyapısının bir parçasıydı.
Lookout, “Lookout araştırmacıları henüz vahşi örneklerle karşılaşmadı ve bunların sosyal mühendislik kampanyaları yoluyla kurbanlara dağıtıldığını orta düzeyde bir güvenle değerlendirdi. Google, mevcut tespitlere dayanarak, bu kötü amaçlı yazılımı içeren hiçbir uygulamanın Google Play’de bulunmadığını doğruladı” dedi.
Bununla birlikte, APT41’in Android cihazlara olan ilgisi, “mobil uç noktaların, gıpta ile bakılan verilere sahip yüksek değerli hedefler olduğunu gösteriyor.”