DragonEgg मोबाइल मालवेयर
सुरक्षा अनुसन्धानकर्ताहरूका अनुसार, एपीटी ४१ को रूपमा चिनिने चिनियाँ राज्य-प्रायोजित जासूसी समूह, बेरियम, अर्थ बाकु र विन्टी जस्ता अन्य उपनामहरूद्वारा पनि चिनिन्छ, एन्ड्रोइड मोबाइल उपकरणहरूलाई लक्षित गर्न WyrmSpy र DragonEgg स्पाइवेयर मालवेयरलाई सक्रिय रूपमा प्रयोग गर्दै आएको छ। जबकि APT41 सँग विश्वव्यापी संगठनहरूलाई लक्षित गर्न वेब अनुप्रयोग आक्रमणहरू र सफ्टवेयर कमजोरीहरूमा भर परेको इतिहास छ, यसले भर्खरै एन्ड्रोइड अपरेटिङ सिस्टमको लागि स्पष्ट रूपमा अनुकूल मालवेयर विकास गर्न आफ्नो रणनीतिहरू परिवर्तन गरेको छ।
यस नयाँ दृष्टिकोणमा, APT41 ले आफ्नो अवस्थित कमाण्ड-एण्ड-कन्ट्रोल पूर्वाधार, IP ठेगानाहरू, र डोमेनहरू दुई मालवेयर भेरियन्टहरू, WyrmSpy र DragonEgg, विशेष रूपमा एन्ड्रोइड उपकरणहरूको लागि डिजाइन गरिएकोसँग सञ्चार र नियन्त्रण गर्न प्रयोग गर्दछ। यस रणनीतिक परिवर्तनले समूहको जासुसी अभियानहरूमा मोबाइल प्लेटफर्महरूको शोषण गर्ने समूहको अनुकूलनता र इच्छुकतालाई प्रदर्शन गर्दछ, जसले विश्वव्यापी रूपमा संगठनहरूको लागि विकसित खतरा परिदृश्य प्रस्तुत गर्दछ।
APT41 ले यसको थ्रेटिङ आर्सेनल अफ टूल्स विस्तार गर्दैछ
APT41 ले एन्ड्रोइड उपकरणहरूमा WyrmSpy र DragonEgg स्पाइवेयर धम्कीहरू वितरण गर्न सामाजिक ईन्जिनियरिङ् रणनीतिहरू प्रयोग गरेको हुन सक्छ। तिनीहरूले WyrmSpy लाई पूर्वनिर्धारित एन्ड्रोइड प्रणाली अनुप्रयोगको रूपमा र DragonEgg लाई तेस्रो-पक्ष एन्ड्रोइड किबोर्ड र मेसेजिङ अनुप्रयोगहरू, टेलिग्राम जस्ता लोकप्रिय प्लेटफर्महरू सहितको रूपमा भेष गरेर यो पूरा गरे। अहिले सम्म, यो स्पष्ट छैन कि यी दुई मालवेयर प्रकार को वितरण आधिकारिक गुगल प्ले स्टोर मार्फत वा अन्य स्रोतहरु बाट .apk फाइलहरु मार्फत भयो।
चासोको एउटा महत्त्वपूर्ण बिन्दु WyrmSpy र DragonEgg दुवैका लागि समान एन्ड्रोइड हस्ताक्षर प्रमाणपत्रहरूको समूहको प्रयोग हो। यद्यपि, यस समानतामा मात्र भर पर्नु मात्र सटीक एट्रिब्युसनको लागि पर्याप्त छैन, किनकि चिनियाँ खतरा समूहहरू ह्याकिंग उपकरण र प्रविधिहरू साझा गर्न चिनिन्छन्, पहिचानलाई चुनौतीपूर्ण बनाउँदै। तिनीहरूको एट्रिब्युसनमा निम्त्याउने निर्णायक प्रमाण भनेको मालवेयरको कमाण्ड-एण्ड-कन्ट्रोल (C2) पूर्वाधारले APT41 ले मे २०१४ देखि अगस्त २०२० सम्म फैलिएको धेरै अभियानहरूमा प्रयोग गरेको सटीक IP ठेगाना र वेब डोमेन फिचर गरेको खोज थियो। यो महत्त्वपूर्ण लिङ्कले मोबाइल sp41 को खतरासँगको सम्बन्धलाई बलियो बनायो।
सामाजिक ईन्जिनियरिङ् प्रविधिको प्रयोग र निगरानी मालवेयर डेलिभर गर्न एन्ड्रोइड अनुप्रयोगहरूको हेरफेरले मोबाइल उपकरण सुरक्षाको महत्त्वलाई जोड दिन्छ। प्रयोगकर्ताहरूलाई अनौपचारिक स्रोतहरूबाट अनुप्रयोगहरू डाउनलोड गर्दा सावधानी अपनाउन र त्यस्ता लक्षित आक्रमणहरूबाट सुरक्षा गर्न सम्मानित सुरक्षा समाधानहरू प्रयोग गर्न सल्लाह दिइन्छ। थप रूपमा, सामाजिक ईन्जिनियरिङ् प्रयासहरू विरुद्ध सतर्क रहनु र नियमित रूपमा सफ्टवेयर अद्यावधिक गर्नाले WyrmSpy र DragonEgg जस्ता डरलाग्दो अनुप्रयोगहरूको शिकार हुने जोखिमलाई कम गर्न मद्दत गर्न सक्छ।
सम्झौता गरिएका एन्ड्रोइड उपकरणहरूबाट DragonEgg Siphons संवेदनशील जानकारी
DragonEgg ले घुसपैठको सम्बन्धित स्तर प्रदर्शन गर्दछ किनकि यसले स्थापनामा व्यापक अनुमतिहरू अनुरोध गर्दछ। यो निगरानी मालवेयर उन्नत डाटा संग्रह र exfiltration क्षमताहरु संग सुसज्जित छ। थप रूपमा, DragonEgg ले Smallmload.jar भनिने माध्यमिक पेलोडको लाभ उठाउँदछ, जसले मालवेयरलाई थप कार्यक्षमता प्रदान गर्दछ, यसले संक्रमित यन्त्रबाट विभिन्न संवेदनशील डेटा बाहिर निकाल्न सक्षम पार्छ। यसमा यन्त्र भण्डारण फाइलहरू, फोटोहरू, सम्पर्कहरू, सन्देशहरू र अडियो रेकर्डिङहरू समावेश छन्। DragonEgg को अर्को उल्लेखनीय पक्ष भनेको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँगको सञ्चार हो जसले फोरेन्सिक प्रोग्रामको रूपमा मास्करेड गर्ने अज्ञात तृतीयक मोड्युल पुन: प्राप्त गर्न।
WyrmSpy र DragonEgg को खोजले परिष्कृत एन्ड्रोइड मालवेयर द्वारा उत्पन्न बढ्दो खतराको मार्मिक रिमाइन्डरको रूपमा कार्य गर्दछ। यी स्पाइवेयर प्याकेजहरूले एक भयानक खतरालाई प्रतिनिधित्व गर्दछ, चोरीसँग सम्झौता गरिएका उपकरणहरूबाट डेटाको विस्तृत दायरा जम्मा गर्न सक्षम। उन्नत एन्ड्रोइड मालवेयरको ल्यान्डस्केप विकसित हुँदै जाँदा, प्रयोगकर्ताहरूलाई सतर्क रहन र तिनीहरूको यन्त्रहरू र व्यक्तिगत जानकारीको सुरक्षा गर्न सक्रिय कदमहरू चाल्न यो बढ्दो रूपमा महत्त्वपूर्ण हुन्छ। प्रतिष्ठित सुरक्षा समाधानहरू प्रयोग गर्ने, अनुप्रयोगहरू स्थापना गर्दा सावधानी अपनाउने, र उदाउँदो खतराहरूको बारेमा सूचित रहनु यस्तो उन्नत निगरानी मालवेयरद्वारा उत्पन्न जोखिमलाई कम गर्न आवश्यक कदमहरू हुन्।
