WyrmSpy ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਉੱਤਮ ਚੀਨ-ਸਮਰਥਿਤ ਰਾਸ਼ਟਰ-ਰਾਜ ਅਭਿਨੇਤਾ, APT41, ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ WyrmSpy ਅਤੇ DragonEgg ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਐਂਡਰਾਇਡ ਸਪਾਈਵੇਅਰ ਦੇ ਦੋ ਪੁਰਾਣੇ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਤਣਾਅ ਦੀ ਖੋਜ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। APT41 ਵੈੱਬ-ਫੇਸਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਅਤੇ ਰਵਾਇਤੀ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਵਿੱਚ ਆਪਣੀ ਮੁਹਾਰਤ ਲਈ ਮਸ਼ਹੂਰ ਹੈ।

ਮੋਬਾਈਲ ਉਪਕਰਣਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਮਾਲਵੇਅਰ ਦੇ ਆਪਣੇ ਹਥਿਆਰਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਕੇ, APT 41 ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਮੋਬਾਈਲ ਐਂਡਪੁਆਇੰਟਸ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਲੋਭੀ ਕਾਰਪੋਰੇਟ ਅਤੇ ਨਿੱਜੀ ਡੇਟਾ ਹੈ। ਇਹ APT 41 ਵਰਗੇ ਸਥਾਪਤ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਏ ਆਧੁਨਿਕ ਖਤਰਿਆਂ ਦੇ ਵਿਰੁੱਧ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੇ ਵੱਧਦੇ ਮਹੱਤਵ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।

WyrmSpy ਸਾਲਾਂ ਤੋਂ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਵਰਤੀ ਜਾ ਸਕਦੀ ਹੈ

ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸੰਗਠਨ APT41, ਜਿਸ ਨੂੰ ਵੱਖ-ਵੱਖ ਨਾਵਾਂ ਜਿਵੇਂ ਕਿ Axiom, Blackfly, Brass Typhoon (ਪਹਿਲਾਂ ਬੇਰੀਅਮ), Bronze Atlas, HOODOO, Wicked Panda, ਅਤੇ Winnti ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਘੱਟੋ-ਘੱਟ 2007 ਤੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, ਸਾਈਬਰ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਨਿਰੰਤਰ ਮੌਜੂਦਗੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਸੂਝਵਾਨ ਧਮਕੀ ਅਭਿਨੇਤਾ ਬੌਧਿਕ ਸੰਪੱਤੀ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਚਲਾਉਣ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਵੱਖ-ਵੱਖ ਉਦਯੋਗਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ।

ਹਾਲ ਹੀ ਦੇ ਸਮੇਂ ਵਿੱਚ, APT41 ਗੂਗਲ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (GC2) ਨਾਮਕ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਰੈੱਡ ਟੀਮਿੰਗ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਇਹ ਹਮਲੇ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਾਈਵਾਨ ਅਤੇ ਇਟਲੀ ਦੇ ਮੀਡੀਆ ਅਤੇ ਨੌਕਰੀ ਦੇ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤੇ ਗਏ ਸਨ, ਜੋ ਸਮੂਹਿਕ ਦੀਆਂ ਸਦਾ-ਵਿਕਸਿਤ ਰਣਨੀਤੀਆਂ ਅਤੇ ਟੀਚਿਆਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ।

ਜਿਵੇਂ ਕਿ ਉਹਨਾਂ ਦੀ ਮੋਬਾਈਲ ਨਿਗਰਾਨੀ ਮੁਹਿੰਮ ਲਈ, ਸ਼ੁਰੂਆਤੀ ਘੁਸਪੈਠ ਦਾ ਸਹੀ ਤਰੀਕਾ ਅਣਜਾਣ ਰਹਿੰਦਾ ਹੈ, ਪਰ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਦੇ ਸ਼ੱਕ ਹਨ। WyrmSpy ਨੂੰ ਪਹਿਲੀ ਵਾਰ 2017 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਸੀ, ਜੋ ਮੋਬਾਈਲ ਖੇਤਰ ਵਿੱਚ ਗਰੁੱਪ ਦੀਆਂ ਲੰਮੀ ਅਤੇ ਨਿਰੰਤਰ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, 2021 ਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ DragonEgg ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ, ਅਤੇ ਇਸ ਮਾਲਵੇਅਰ ਦੇ ਨਵੇਂ ਨਮੂਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਅਪ੍ਰੈਲ 2023 ਵਿੱਚ ਦੇਖੇ ਗਏ ਸਨ, ਜੋ ਕਿ APT41 ਦੁਆਰਾ ਪੈਦਾ ਹੋ ਰਹੇ ਖਤਰੇ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੇ ਹਨ।

WyrmSpy ਐਂਡਰਾਇਡ ਮਾਲਵੇਅਰ ਵਿੱਚ ਮਿਲੀਆਂ ਧਮਕੀਆਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

WyrmSpy ਆਪਣੇ ਆਪ ਨੂੰ ਉਪਭੋਗਤਾ ਸੂਚਨਾਵਾਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਇੱਕ ਡਿਫੌਲਟ ਸਿਸਟਮ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਣਾ ਕੇ ਧੋਖਾਧੜੀ ਦੀਆਂ ਚਾਲਾਂ ਨੂੰ ਵਰਤਦਾ ਹੈ। ਬਾਅਦ ਦੇ ਰੂਪਾਂ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਨੂੰ ਬਾਲਗ ਵੀਡੀਓ ਸਮੱਗਰੀ, Baidu Waimai ਅਤੇ Adobe Flash ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਏਮਬੇਡ ਕੀਤਾ ਗਿਆ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਸ ਗੱਲ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ ਕਿ ਇਹ ਠੱਗ ਐਪਸ ਕਦੇ ਅਧਿਕਾਰਤ ਗੂਗਲ ਪਲੇ ਸਟੋਰ ਦੁਆਰਾ ਵੰਡੇ ਗਏ ਸਨ। WyrmSpy ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਪੀੜਤਾਂ ਦੀ ਸਹੀ ਗਿਣਤੀ ਅਣਜਾਣ ਰਹਿੰਦੀ ਹੈ।

WyrmSpy ਅਤੇ APT41 ਵਿਚਕਾਰ ਕਨੈਕਸ਼ਨ IP ਐਡਰੈੱਸ 121[.]42[.]149[.]52 ਦੇ ਨਾਲ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਸਪੱਸ਼ਟ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਹ IP ਪਤਾ ਡੋਮੇਨ 'vpn2.umisen[.]com' ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ ਜੋ ਪਹਿਲਾਂ APT41 ਸਮੂਹ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।

ਇੱਕ ਵਾਰ ਸਫਲਤਾਪੂਰਵਕ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, WyrmSpy ਦਖਲਅੰਦਾਜ਼ੀ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸ 'ਤੇ ਸੂਝਵਾਨ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਧਮਕੀ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਫੋਟੋਆਂ, ਟਿਕਾਣਾ ਡੇਟਾ, SMS ਸੁਨੇਹਿਆਂ ਅਤੇ ਆਡੀਓ ਰਿਕਾਰਡਿੰਗਾਂ ਸਮੇਤ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਜਾਣਕਾਰੀ ਦੀ ਕਟਾਈ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

WyrmSpy ਨੇ C2 ਸਰਵਰ ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੇ ਮੋਡਿਊਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੀ ਅਨੁਕੂਲਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਵੀ ਕੀਤਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਮਾਲਵੇਅਰ ਨੂੰ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹੋਏ ਆਪਣੀ ਡਾਟਾ ਇਕੱਤਰ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਵਧਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, WyrmSpy ਉੱਨਤ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਕਿਉਂਕਿ ਇਹ ਸੁਰੱਖਿਆ-ਵਧਾਇਆ ਲੀਨਕਸ (SELinux), ਐਂਡਰਾਇਡ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਇੱਕ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਅਯੋਗ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ 'ਤੇ ਉੱਚੇ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਿੰਗਰੂਟ 11 ਵਰਗੇ ਰੂਟਿੰਗ ਟੂਲਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।