WyrmSpy मोबाइल मालवेयर
प्रबल चीन-समर्थित राष्ट्र-राज्य अभिनेता, APT41, हालै WyrmSpy र DragonEgg भनेर चिनिने एन्ड्रोइड स्पाइवेयरका दुईवटा अप्रमाणित स्ट्रेनहरूको खोजसँग जोडिएको छ। APT41 वेब-फेसिङ अनुप्रयोगहरूको शोषण र परम्परागत अन्तबिन्दु उपकरणहरू घुसपैठ गर्नमा यसको विशेषज्ञताको लागि प्रसिद्ध छ।
मोबाइल उपकरणहरू समावेश गर्न मालवेयरको आफ्नो शस्त्रागार विस्तार गरेर, APT 41 ले उच्च-मूल्य लक्ष्यहरू प्रतिष्ठित कर्पोरेट र व्यक्तिगत डेटाको रूपमा मोबाइल अन्त बिन्दुहरूको महत्त्व स्पष्ट रूपमा देखाउँछ। यसले APT 41 जस्ता स्थापित खतरा अभिनेताहरूद्वारा उत्पन्न परिष्कृत खतराहरू विरुद्ध मोबाइल उपकरणहरू सुरक्षित गर्ने बढ्दो महत्त्वलाई हाइलाइट गर्दछ।
WyrmSpy सायबर अपराधीहरूले वर्षौंदेखि प्रयोग गरेको हुन सक्छ
साइबर क्राइम संगठन APT41, Axiom, Blackfly, Brass Typhoon (पहिले बेरियम), Bronze Atlas, HOODOO, Wicked Panda, र Winnti जस्ता विभिन्न नामले पनि चिनिन्छ, कम्तिमा 2007 देखि साइबर परिदृश्यमा निरन्तर उपस्थिति देखाउँदै काम गरिरहेको छ। यो परिष्कृत खतरा अभिनेता बौद्धिक सम्पत्ति र संवेदनशील जानकारी सञ्चालन गर्ने उद्देश्यले विभिन्न उद्योगहरूलाई लक्षित गर्दै आएको छ।
हालैका समयमा, APT41 ले गुगल कमाण्ड एण्ड कन्ट्रोल (GC2) भनिने खुला स्रोत रेड टिमिङ उपकरण प्रयोग गरी आक्रमणहरू सुरु गर्न जिम्मेवार छ। यी आक्रमणहरू विशेष रूपमा ताइवान र इटालीका मिडिया र रोजगार प्लेटफर्महरूमा निर्देशित गरिएका थिए, जसले सामूहिक रूपमा विकसित हुने रणनीति र लक्ष्यहरू प्रदर्शन गर्दछ।
तिनीहरूको मोबाइल सर्भेलेन्सवेयर अभियानको लागि, प्रारम्भिक घुसपैठको सही विधि अज्ञात रहन्छ, तर सामाजिक ईन्जिनियरिङ् प्रविधिहरूको प्रयोगको शंकाहरू छन्। WyrmSpy पहिलो पटक 2017 को रूपमा पत्ता लगाइएको थियो, जसले मोबाइल क्षेत्रमा समूहको लामो र निरन्तर गतिविधिहरूलाई संकेत गर्दछ। त्यसपछि, २०२१ को सुरुमा ड्र्यागनएग पहिचान गरिएको थियो, र यस मालवेयरको नयाँ नमूनाहरू हालै अप्रिल २०२३ को रूपमा अवलोकन गरिएको थियो, APT41 द्वारा उत्पन्न भइरहेको खतरालाई जोड दिँदै।
WyrmSpy एन्ड्रोइड मालवेयरमा पाइने खतरा क्षमताहरू
WyrmSpy ले प्रयोगकर्ता अधिसूचनाहरू प्रदर्शन गर्न जिम्मेवार पूर्वनिर्धारित प्रणाली अनुप्रयोगको रूपमा भेषमा भ्रामक रणनीतिहरू प्रयोग गर्दछ। पछिल्ला भिन्नताहरूमा, मालवेयरलाई वयस्क भिडियो सामग्री, Baidu Waimai र Adobe Flash को रूपमा प्रस्तुत गर्ने अनुप्रयोगहरूमा इम्बेड गरिएको छ। उल्लेखनीय रूपमा, यी दुष्ट एपहरू आधिकारिक गुगल प्ले स्टोर मार्फत वितरित गरिएको थियो भनेर सुझाव दिने कुनै प्रमाण छैन। WyrmSpy द्वारा लक्षित पीडितहरूको सही संख्या अज्ञात रहन्छ।
WyrmSpy र APT41 बीचको जडान आईपी ठेगाना 121 [.]42[.]149[.]52 सँग Command-and-Control (C2) सर्भरको प्रयोगबाट स्पष्ट हुन्छ। यो IP ठेगाना 'vpn2.umisen[.]com' डोमेनसँग मेल खान्छ जुन पहिले APT41 समूहको पूर्वाधारसँग सम्बन्धित थियो।
एकपटक सफलतापूर्वक स्थापना भएपछि, WyrmSpy ले हस्तक्षेपकारी अनुमतिहरू अनुरोध गर्दछ, खतरालाई परिष्कृत डेटा सङ्कलन र सम्झौता गरिएको एन्ड्रोइड उपकरणमा एक्सफिल्टेशन गतिविधिहरू कार्यान्वयन गर्न अनुमति दिँदै। मालवेयरले तस्बिरहरू, स्थान डेटा, एसएमएस सन्देशहरू, र अडियो रेकर्डिङहरू सहित संवेदनशील प्रयोगकर्ता जानकारी सङ्कलन गर्न सक्षम छ।
WyrmSpy ले C2 सर्भरबाट डाउनलोड गरिएका मोड्युलहरू प्रयोग गरेर यसको अनुकूलन क्षमता पनि देखाएको छ। यस दृष्टिकोणले मालवेयरलाई पत्ता लगाउन बेवास्ता गर्दा यसको डेटा सङ्कलन क्षमताहरू बढाउन अनुमति दिन्छ।
थप रूपमा, WyrmSpy ले उन्नत कार्यक्षमताहरू प्रदर्शन गर्दछ, किनकि यसले एन्ड्रोइड अपरेटिङ सिस्टम भित्रको सुरक्षा सुविधा, सुरक्षा-परिष्कृत लिनक्स (SELinux) लाई असक्षम पार्न सक्छ। यसबाहेक, यसले सम्झौता गरिएका मोबाइल उपकरणहरूमा उन्नत विशेषाधिकारहरू प्राप्त गर्न KingRoot11 जस्ता रूटिङ उपकरणहरूको शोषण गर्दछ।
