Çin merkezli devlet destekli bir casusluk grubu olan APT41, yasal uygulamalar gibi görünen casus yazılım wyrmspy ve Dragon Egg aracılığıyla Android cihazları hedefliyor.
Bu grup 2012’den beri faaliyet göstermektedir ve yazılım geliştirme, donanım üreticileri, telekomünikasyon, sosyal medya, video oyunları vb. ile ilgili hem kamu hem de özel sektörü hedeflemektedir.
2019 ve 2020’deki ABD büyük jüri iddianamelerine göre grup, Amerika Birleşik Devletleri’nde ve dünya çapında 100’den fazla kamu ve özel kuruluş ve bireyin gizliliğini tehlikeye atmaya karıştı.
Lookout Threat Lab araştırmacıları, her iki casus yazılımı da aktif olarak takip ediyor ve ayrıntılı analiz raporlarını paylaştı.
Casus Yazılım Saldırısı Android Cihazlar
Başlangıçta, bu kötü amaçlı yazılım, bildirimleri göstermek için meşru Android uygulamalarını taklit eder; kullanıcının makinesine başarıyla yüklendikten sonra, veri hırsızlığını etkinleştirmek için birden fazla cihaz izni talep eder.
Google, mevcut tespite göre bu kötü amaçlı yazılımı içeren hiçbir uygulamanın Google Play’de bulunmadığını doğruladı.
Wyrmspy, günlük dosyalarını, fotoğrafları, Cihaz konumunu, SMS mesajlarını (okuma ve yazma) ve Ses kayıtlarını toplayabilir.
Cihaza artırılmış ayrıcalıklar kazandırmak ve C2 sunucularından alınan komutlarla belirtilen gözetim etkinliklerini gerçekleştirmek için bilinen köklendirme araçlarını kullanır.
Ejderha yumurtası, genellikle ” olarak adlandırılan yükü alır.küçük yük.jar,” C2 altyapısından veya APK ile birlikte gelen bir dosyadan.
Bu dosya, WyrmSpy gibi daha fazla işlevsellik edinmeye ve başlatmaya çalışır; DragonEgg örnekleri, aslında ana uygulamada kullanılmayan hizmetler için birçok izin ister.
Dragon Egg, cihazı başarıyla ele geçirdiğinde Cihaz kişileri, SMS mesajları, Harici cihaz depolama dosyaları, Cihaz konumu, Ses kaydı ve Kamera fotoğrafları gibi verileri de toplayabilir.
Hem Dragon Egg hem de WyrmSpy, güvenliği ihlal edilmiş cihaza nasıl yanıt verileceği ve hangi verilerin çıkarılacağına karar vermek için C2’den gelen komutları gerektirir ve yapılandırma dosyalarını kullanır.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.