LightSpy APT Ödeme Verilerini Çalmak İçin WeChat Kullanıcılarına Saldırıyor


LightSpy APT WeChat Kullanıcılarına Saldırıyor

Hong Kong’daki iOS kullanıcılarına karşı gerçekleştirilen bir sulama deliği saldırısından sorumlu olan LightSpy kötü amaçlı yazılımının, mobil kullanıcılara saldırmak için Android implant Core ve 20 aktif sunucudaki 14 ilgili eklentisine gömülü olduğu keşfedildi.

LightSpy, mobil kullanıcılara saldırmak için yeni ve gelişmiş teknikler kullanan bir Mobil Gelişmiş Kalıcı Tehdittir (mAPT). Bu kötü amaçlı yazılımın devlet destekli APT41 grubuna atfedildiği doğrulandı.

Son raporlar, kötü amaçlı yazılımın ödeme verilerine erişmek, özel iletişimleri izlemek ve çeşitli kötü amaçlı faaliyetler gerçekleştirmek için WeChat ödeme sistemlerini kullandığını gösteriyor.

LightSpy APT WeChat Kullanıcılarına Saldırıyor

Cyber ​​Security News ile paylaşılan raporlara göre LightSpy kötü amaçlı yazılımının, özel ve ödeme verilerinin sızdırılması için çeşitli eklentiler kullandığı tespit edilen tam özellikli modüler bir gözetim araç seti olduğu ortaya çıktı. Ek olarak, kötü amaçlı yazılım büyük ölçüde kurbanın özel bilgilerine odaklanıyor.

Özellikleri arasında, arka uç altyapısını kullanarak WeChat Pay’den ödeme verilerinin sızdırılması ve mağdurların VOIP konuşmalarını kaydetmek için WeChat’ten ses ile ilgili işlevler elde edilmesi yer alıyor.

Ancak bu kötü amaçlı yazılım, aynı zamanda bir eklenti olduğundan bağımsız bir uygulama olarak çalışamaz. Üstelik kötü amaçlı yazılımın çekirdeği, saldırı zincirinin tamamı için gereken tüm işlevleri yerine getirmekten sorumludur.

Temel işlevler arasında cihaz parmak izi toplama, sunucu bağlantısının kurulmasını kontrol etme, sunucudan komutları alma ve kendini güncelleme ve eklenti olarak da adlandırılan ek yük dosyaları yer alır.

LightSpy’ın 14 Eklentisi

Kötü amaçlı yazılıma; yumuşak liste, temel bilgi, fatura, kamera modülü, sohbet dosyası, dosya yöneticisi, konum modülü, konumBaidu, qq, kabuk, ses kaydı, telgraf, wechat ve wifi içeren birden fazla eklenti eklendi.

EKLENTİVERSİYONKISA AÇIKLAMA
yumuşak liste3.3.3Araç kutusu/oyuncak kutusu yardımcı programını ve süper kullanıcı erişimini kullanarak yüklü/çalışan uygulamaların ve etkin kullanıcı adlarının listesini dışarı çıkarır
temel bilgi2.3.4Kişi listesini, çağrı geçmişini ve SMS mesajlarını süzer. Komutla SMS mesajları gönderebilir ve silebilir
fatura1.2.18Ödeme geçmişini WeChat Pay’den sızdırıyor
kamera modülü2.6.1Kamera çekimleri yapıyor. Tek çekim, sürekli çekim veya olayla ilgili bazı çekimler (örneğin telefon görüşmesi) yapılabilir
sohbet dosyası1.3.4Farklı mesajlaşma programlarının klasörlerindeki verileri sızdırır
dosya yöneticisi3.0.5Dosya filtreleme eklentisi
konum modülü2.6.5Hassas konum izleme eklentisi
konumBaidu2.6.6Farklı çerçeveler ve Android yerel API’leri kullanan başka bir konum izleme eklentisi
qq5.1.71Tencent QQ messenger veritabanı ayrıştırma ve dışarı çıkarma eklentisi
kabuk2.2.4Uzak kabuk eklentisi
ses kaydı2.7.4Ses kayıt eklentisi: ortam, çağrılar, VOIP çağrıları ses sızıntısı
telgraf7.3.221Telegram messenger veri sızdırma eklentisi
wechat6.7.271WeChat veri sızdırma eklentisi
Wifi2.3.3Wi-Fi ağı veri sızdırma eklentisi

Kaynak: ThreatFabric

En önemli eklentilerden biri, raporda da belirtildiği gibi, konum takibinden sorumlu olan, mevcut konumun anlık görüntüsünü gönderebilen veya belirli zaman aralıklarıyla konum takibi kurabilen konum modülü eklentisiydi. Bu eklenti iki konum izleme çerçevesine dayanmaktadır: Tencent konum SDK’sı ve Baidu konum SDK’sı.

Bir diğer önemli eklenti ise ses kaydından sorumlu olan Soundrecord eklentisiydi. Bu eklenti aynı zamanda mikrofon kaydını anında veya belirli aralıklarla başlatabilir. Üstelik bu eklenti gelen telefon görüşmelerini de kaydedebiliyor.

Fatura eklentisi, WeChat Pay’den (Çin’de Weixin Pay) kurbanın ödeme geçmişi hakkında bilgi toplamaktan sorumlu olan ve işlenen ödemenin son fatura kimliğini, fatura türünü, işlem kimliğini, tarihini ve bayrağını içeren bir diğer önemli eklentidir. .

ANDROID EKLENTİ SETİIOS EKLENTİ SETİ
temel bilgibaseinfoaaa.dylib
dosya yöneticisiDosyaYönet
qqios_qq
telgrafios_telegram
wechatios_wechat
kabukKabuk Komutaaaa
yumuşak listeSoftInfoaaa
WifiWifiListesi
konum modülükonumaaa.dylib
konumBaiduYok
ses kaydıÇevresel Kayıt
faturaışık
kamera modülüEkranaaa
sohbet dosyasılansmanctl
Yokirc_loader
Yokircbin.plist
YokAnahtarlık
Yoktarayıcı

iOS ve Android komutları arasındaki ilişki (Kaynak: ThreatFabric)

ThreatFabric tarafından LightSpy hakkında tehdit vektörü, kaynak kodu, analiz ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

Kontrol sunucuları:

ALANLAR

uzayskd[.]iletişim

IP’ler

103.27.108[.]207

46.17.43[.]74

Dosya karmaları:

İkinci aşama yükü (smalmload.jar)

SHA256

407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c

bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99

Çekirdek

SHA256VERSİYON
68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce6445416.5.24
5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc006.5.24
bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc6.5.25
9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd6.2.1
a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd36.5.19
77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b6.2.0
d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e6.2.1
3849adc161d699edaca161d5b6335dfb7e50050566799907618d5e74b9f78792f6.2.6
2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce45.2.1

Eklentiler

Eklenti adıSHA256
yumuşak liste7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112
temel bilgicc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89
faturac6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6
kamera modülübace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325
sohbet dosyası7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b
dosya yöneticisie5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546
konum modülübf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04
konumBaidu177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1
qqf32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5
kabuke1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be
ses kaydıc0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e
telgraf71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486
wechatbcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1
Wifi446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link