Dün, Lookout, Inc., Çin casusluk grubu APT41 (AKA Double Dragon, BARIUM ve Winnti) ile bağlantılı olan WyrmSpy ve DragonEgg olarak bilinen gelişmiş Android gözetleme yazılımının keşfedildiğini duyurdu. APT41’in taktikleri, ABD’de ve dünya çapında 100’den fazla özel ve kamu kuruluşuna yönelik saldırıları nedeniyle ABD hükümeti tarafından birden fazla suçlamayla itham edilmesine rağmen, mobil cihazları içerecek şekilde gelişti.
Double Dragon, BARIUM ve Winnti olarak da bilinen APT41, 2012’den beri faaliyet gösteren, devlet destekli bir casusluk grubudur. Ağustos 2019 ve Ağustos 2020’de, hacker’larından beşi, Washington DC’deki federal büyük jüri tarafından, aralarında yazılım geliştirme şirketleri, bilgisayar donanımı üreticileri, telekomünikasyon sağlayıcıları, sosyal medya şirketleri, video oyun şirketleri, gayri meşru şirketler de dahil olmak üzere Amerika Birleşik Devletleri’nde ve yurt dışında düzinelerce şirketi etkileyen bir bilgisayar izinsiz giriş kampanyası nedeniyle suçlandı. Hong Kong’daki kar kuruluşları, üniversiteler, düşünce kuruluşları, yabancı hükümetler ve demokrasi yanlısı politikacılar ve aktivistler.
Web’e dönük uygulamaları istismar etmesi ve geleneksel uç nokta cihazlarına sızmasıyla tanınan APT 41 gibi kötü amaçlı yazılım cephaneliğine mobil de dahil olmak üzere yerleşik bir tehdit aktörü, mobil uç noktaların gıpta ile bakılan kurumsal ve kişisel verilerle nasıl yüksek değerli hedefler olduğunu gösteriyor.
Tehdit keşfinde öne çıkanlar:
- Hem WyrmSpy hem de DragonEgg, gelişmiş veri toplama ve sızdırma yeteneklerine sahiptir ve Lookout araştırmacıları, bunların sosyal mühendislik kampanyaları yoluyla kurbanlara dağıtıldığına inanıyor.
- Her ikisi de kötü niyetlerini gizlemek ve tespit edilmekten kaçınmak için modüller kullanır.
- Günlük dosyaları, fotoğraflar, cihaz konumu, SMS mesajları ve ses kayıtları dahil olmak üzere virüslü cihazlardan çok çeşitli verileri toplama yeteneğine sahip olan WyrmSpy, öncelikle kullanıcıya bildirimleri görüntülemek için kullanılan varsayılan bir Android sistem uygulaması gibi davranır. Daha sonraki varyantlar ayrıca kötü amaçlı yazılımı yetişkinlere yönelik video içeriği, “Baidu Waimai” yemek dağıtım platformu ve Adobe Flash gibi görünen uygulamalara paketler.
- DragonEgg, üçüncü taraf Android klavyeleri olduğu iddia edilen uygulamalarda ve Telegram gibi mesajlaşma uygulamalarında gözlemlendi.
İşinizi ve kişisel Android cihazlarınızı WyrmSpy ve DragonEgg’den korumak için Lookout şunları önerir:
- Cihazınızın yazılımını güncel tutun.
- Yalnızca güvenilir kaynaklardan uygulama yükleyin ve bunları yalnızca Google Play Store’dan indirin.
- Uygulamalara hangi izinleri verdiğiniz konusunda dikkatli olun.
- Lookout gibi bir mobil güvenlik çözümü kullanın.
Lookout Kıdemli Tehdit Araştırmacısı Kristina Balaam, “WyrmSpy ve DragonEgg’in keşfi, gelişmiş Android kötü amaçlı yazılımlarının oluşturduğu artan tehdidi hatırlatıyor” dedi. “Bu casus yazılım paketleri oldukça gelişmiş ve virüs bulaşmış cihazlardan çok çeşitli verileri toplamak için kullanılabilir. Android kullanıcılarını tehdidin farkında olmaya ve cihazlarını, işlerini ve kişisel verilerini korumak için adımlar atmaya çağırıyoruz.”
Lookout Threat Lab araştırmacıları, 2020’den beri hem casus yazılımları aktif olarak izliyor hem de Lookout Mobile Endpoint Security müşterilerine kapsam sağlıyor. Lookout Security Graph, 215 milyondan fazla cihazdan, 190 milyon uygulamadan makine istihbaratından yararlanıyor ve günde 4,5 milyon URL alıyor. Lookout, kullanıcı gizliliğine saygı duyarak müşterileri kimlik avı, uygulama, cihaz ve ağ tehditlerine karşı korur.
Wyrm ve DragonEgg hakkında daha fazla bilgi için Lookout Threat Lab blogunu ziyaret edin.