WyrmSpy मोबाइल मैलवेयर

विपुल चीन समर्थित राष्ट्र-राज्य अभिनेता, APT41, को हाल ही में WyrmSpy और DragonEgg के नाम से जाने जाने वाले एंड्रॉइड स्पाइवेयर के दो पहले से अप्रलेखित उपभेदों की खोज से जोड़ा गया है। APT41 वेब-फेसिंग अनुप्रयोगों के दोहन और पारंपरिक एंडपॉइंट उपकरणों में घुसपैठ करने में अपनी विशेषज्ञता के लिए प्रसिद्ध है।

मोबाइल उपकरणों को शामिल करने के लिए मैलवेयर के अपने शस्त्रागार का विस्तार करके, APT 41 स्पष्ट रूप से प्रतिष्ठित कॉर्पोरेट और व्यक्तिगत डेटा वाले उच्च-मूल्य वाले लक्ष्यों के रूप में मोबाइल एंडपॉइंट के महत्व को प्रदर्शित करता है। यह एपीटी 41 जैसे स्थापित खतरे वाले अभिनेताओं द्वारा उत्पन्न परिष्कृत खतरों के खिलाफ मोबाइल उपकरणों को सुरक्षित करने के बढ़ते महत्व पर प्रकाश डालता है।

WyrmSpy का उपयोग साइबर अपराधियों द्वारा वर्षों से किया जा रहा है

साइबर क्राइम संगठन APT41, जिसे एक्सिओम, ब्लैकफ्लाई, ब्रास टाइफून (पूर्व में बेरियम), ब्रॉन्ज एटलस, हूडू, विकेड पांडा और विन्नटी जैसे विभिन्न नामों से भी जाना जाता है, कम से कम 2007 से काम कर रहा है, जो साइबर परिदृश्य में लगातार उपस्थिति प्रदर्शित कर रहा है। यह परिष्कृत खतरा अभिनेता बौद्धिक संपदा और संवेदनशील जानकारी के संचालन के उद्देश्य से विभिन्न उद्योगों को लक्षित कर रहा है।

हाल के दिनों में, APT41 Google कमांड और कंट्रोल (GC2) नामक एक ओपन-सोर्स रेड टीमिंग टूल का उपयोग करके हमले शुरू करने के लिए जिम्मेदार रहा है। ये हमले विशेष रूप से ताइवान और इटली में मीडिया और नौकरी प्लेटफार्मों पर निर्देशित किए गए थे, जो सामूहिक रूप से विकसित होने वाली रणनीति और लक्ष्यों को प्रदर्शित करते थे।

जहां तक उनके मोबाइल सर्विलांसवेयर अभियान का सवाल है, प्रारंभिक घुसपैठ की सटीक विधि का खुलासा नहीं किया गया है, लेकिन सोशल इंजीनियरिंग तकनीकों के उपयोग पर संदेह है। WyrmSpy का पहली बार 2017 की शुरुआत में पता चला था, जो मोबाइल क्षेत्र में समूह की लंबी और निरंतर गतिविधियों का संकेत देता है। इसके बाद, 2021 की शुरुआत में ड्रैगनएग की पहचान की गई, और इस मैलवेयर के नए नमूने हाल ही में अप्रैल 2023 में देखे गए, जो APT41 द्वारा उत्पन्न चल रहे खतरे पर जोर देते हैं।

WyrmSpy Android मैलवेयर में धमकी देने वाली क्षमताएं मिलीं

WyrmSpy उपयोगकर्ता सूचनाओं को प्रदर्शित करने के लिए जिम्मेदार एक डिफ़ॉल्ट सिस्टम एप्लिकेशन के रूप में खुद को प्रच्छन्न करके भ्रामक रणनीति अपनाता है। बाद के संस्करणों में, मैलवेयर को वयस्क वीडियो सामग्री, Baidu वेइमाई और एडोब फ्लैश के रूप में प्रस्तुत करने वाले अनुप्रयोगों में एम्बेड किया गया है। विशेष रूप से, यह सुझाव देने के लिए कोई सबूत नहीं है कि ये दुष्ट ऐप्स कभी भी आधिकारिक Google Play Store के माध्यम से वितरित किए गए थे। WyrmSpy द्वारा लक्षित पीड़ितों की सटीक संख्या अज्ञात बनी हुई है।

WyrmSpy और APT41 के बीच संबंध आईपी एड्रेस 121[.]42[.]149[.]52 के साथ कमांड-एंड-कंट्रोल (C2) सर्वर के उपयोग के माध्यम से स्पष्ट हो जाता है। यह आईपी पता डोमेन 'vpn2.umisen[.]com' से मेल खाता है जो पहले APT41 समूह के बुनियादी ढांचे से जुड़ा हुआ है।

एक बार सफलतापूर्वक इंस्टॉल हो जाने पर, WyrmSpy दखल देने वाली अनुमतियों का अनुरोध करता है, जिससे खतरे को समझौता किए गए एंड्रॉइड डिवाइस पर परिष्कृत डेटा संग्रह और घुसपैठ गतिविधियों को निष्पादित करने की अनुमति मिलती है। मैलवेयर फ़ोटो, स्थान डेटा, एसएमएस संदेश और ऑडियो रिकॉर्डिंग सहित संवेदनशील उपयोगकर्ता जानकारी प्राप्त करने में सक्षम है।

WyrmSpy ने C2 सर्वर से डाउनलोड किए गए मॉड्यूल का उपयोग करके अपनी अनुकूलनशीलता भी प्रदर्शित की है। यह दृष्टिकोण मैलवेयर को पहचान से बचते हुए अपनी डेटा संग्रह क्षमताओं को बढ़ाने की अनुमति देता है।

इसके अतिरिक्त, WyrmSpy उन्नत कार्यक्षमताएँ प्रदर्शित करता है, क्योंकि यह एंड्रॉइड ऑपरेटिंग सिस्टम के भीतर एक सुरक्षा सुविधा, सिक्योरिटी-एन्हांस्ड लिनक्स (SELinux) को अक्षम कर सकता है। इसके अलावा, यह समझौता किए गए मोबाइल उपकरणों पर उन्नत विशेषाधिकार प्राप्त करने के लिए KingRoot11 जैसे रूटिंग टूल का उपयोग करता है।