Araştırmacılar bilinen iki Android gözetleme yazılımı programını (WyrmSpy ve DragonEgg) Çin’in APT41’ine bağladılar.
APT41 (namı diğer Winnti, BARIUM, Double Dragon), aynı derecede devlet kurumları ve işletmelerine karşı yürüttüğü casusluk kampanyalarıyla tanınan, Çin devlet destekli bir tehdit aktörüdür. Asya-Pasifik’teki kamu ve özel kuruluşları tehlikeye attı, ancak aynı zamanda Avustralya, Hindistan, Amerika Birleşik Devletleri ve ötesine kadar vurdu ve öyle bir ün kazandı ki, üyelerinden beşi ABD Adalet Bakanlığı tarafından suçlandı.
APT41, istismarları için genellikle uç nokta cihazlarını ve internete açık Web uygulamalarını hedef almıştır. Ancak Lookout araştırmacılarının 19 Temmuz’da yayınlanan bir raporda açıkladığı gibi, grup zaman zaman mobil saldırılara da girişiyor ve Android uygulamaları kılığında casus yazılımlar sağlıyor.
Bunu artık biliyoruz çünkü WyrmSpy ve DragonEgg, aynı geliştiricilerden geldiklerini belirten örtüşen Android kod imzalama sertifikaları kullandılar. Ve eski kaynak kodunun ilk örnekleri, vpn2.umisen alt etki alanına çözümlenen sabit kodlanmış bir komut ve kontrol (C2) sunucu adresini içeriyordu.[.]com. Adalet Bakanlığı vpn2.umisen’i bağladı[.]com, 2020 iddianamesinde APT41 ile.
İşte Siber Ejderhalar Olun: WyrmSpy ve DragonEgg’in İçinde
APT41’in gözetleme yazılımı, itibarına yakışır şekilde, vahşi ortamda en üstün olanıdır.
Örneğin, Lookout’ta kıdemli güvenlik istihbarat mühendisi Kristina Balaam, “Daha iyi bir sıfat bulamadıkları için birçok kötü amaçlı yazılım yazarı biraz tembeldir. Güneş altındaki tüm izinleri isteyebilirler ve aslında cihazı tehlikeye atmaya çalıştıklarında kimsenin bunu fark etmemesini umabilirler. Ancak tehdit aktörleri burada bir adım daha ileri gitti,” diyor.
En az 2017’den beri var olan WyrmSpy’ı düşünün. Çoğu zaman, bildirimleri görüntülemek için varsayılan bir Android sistem uygulaması olarak kendini gizler, ancak daha yeni değişkenler, yetişkinlere yönelik video içeriği gibi davranan uygulamaların, Çin yemek dağıtım platformu Baidu Waimai’nin ve Adobe Flash’ın içine gizlenmiştir. Ancak bir cihaza girdikten sonra, kullanıcıdan yalnızca izin istemek yerine, saldırgan tarafından kontrol edilen bir C2 sunucusundan alınan komutları gerçekleştirmeden önce ayrıcalıkları yükseltmek için köklendirme araçlarını kullanır.
WyrmSpy, günlük dosyalarını ve bir cihazın konumunu okuyabilir, ses dosyalarını ve fotoğrafları dışarı sızdırabilir ve SMS mesajlarını okuyabilir veya yazabilir.
Balaam, “Ve sonra modülerlik var” diye ekliyor. “Bazen tüm gözetleme işlevlerinin temel uygulamada bir arada olması daha kolaydır ve hazır olduğunuzda onu göndermeniz yeterlidir. Bu durumlarda, saldırganlar sundukları işlevselliği sürekli olarak güncelliyor ve yineliyor.”
WyrmSpy, tıpkı DragonEgg gibi modülerdir ve ilk olarak 2021’de tespit edilmiştir. WyrmSpy gibi, DragonEgg de üçüncü taraf klavyelerden Telegram’ın truva atına dönüştürülmüş bir sürümüne kadar çeşitli kötü amaçlı uygulamaların içine yerleşir ve kullanıcıdan kapsamlı izinler ister. Bir kullanıcının kişilerini, SMS mesajlarını, harici cihaz depolama dosyalarını, konumunu, fotoğraflarını ve ses kayıtlarını çalabilir.
Bir Gözetim Durumu Mobil Hale Geliyor
Bu bilgi hırsızları tarafından tam olarak kim veya kaç kurbanın vurulduğu bilinmiyor.
Balam, “Bununla ilgili zorlayıcı olan şey, hedeflemelerinde çok genel olmalarıdır,” diye yakınıyor. Kötü amaçlı yazılımın belirli bir demografiyi hedefleyen bir uygulamada paketlenip paketlenmediğini bir ipucu olarak alabiliriz, ancak Adobe Flash ve Telegram yaygın genel kullanım uygulamalarıdır.
Açık olan, Çin’in farklı grupları hedef almak için uzun süredir mobil casus yazılım kullandığıdır. APT41 öncelikle hükümetler ve şirketlerle ilgili olabilir, ancak önceki kampanyalarda Uygur topluluklarını hedef almak için benzer Android kötü amaçlı yazılımları kullanıldı.
Balam, APT41 gibi bir grubun gücüne karşı herkesin yapabileceği çok az şey olduğunu, ancak temel mobil güvenlik hijyeninin – yalnızca resmi uygulama mağazalarından yazılım indirmek gibi – başlamak için bir yer olduğunu söylüyor.
Ayrıca, en basiti olsa bile mobil platformlar için antivirüs önerir. “En azından o zaman bu gözetleme yazılımları, reklam yazılımları, bankacılık Truva Atları – cihazınızda istemediğiniz şeyler için tespitler elde edebilirsiniz. Uyarılar alabilir ve bunları kendiniz çözmenize gerek kalmadan bir uygulama tarafından kaldırılmasını sağlayabilirsiniz.”