WyrmSpy மொபைல் மால்வேர்

சீனா-ஆதரவு பெற்ற தேசிய-அரசு நடிகரான APT41, சமீபத்தில் WyrmSpy மற்றும் DragonEgg என அழைக்கப்படும் ஆண்ட்ராய்டு ஸ்பைவேரின் முன்னர் ஆவணப்படுத்தப்படாத இரண்டு விகாரங்களின் கண்டுபிடிப்புடன் இணைக்கப்பட்டுள்ளது. APT41 ஆனது இணையத்தை எதிர்கொள்ளும் பயன்பாடுகளைப் பயன்படுத்துவதிலும், பாரம்பரிய முனைப்புள்ளி சாதனங்களில் ஊடுருவுவதிலும் நிபுணத்துவம் பெற்றது.

மொபைல் சாதனங்களைச் சேர்க்க தீம்பொருளின் ஆயுதக் களஞ்சியத்தை விரிவுபடுத்துவதன் மூலம், APT 41 மொபைல் எண்ட்புயிண்ட்ஸின் முக்கியத்துவத்தை தெளிவாக நிரூபிக்கிறது, ஏனெனில் அதிக மதிப்புள்ள கார்ப்பரேட் மற்றும் தனிப்பட்ட தரவை வீட்டுவசதி செய்கிறது. APT 41 போன்ற நிறுவப்பட்ட அச்சுறுத்தல் நடிகர்களால் ஏற்படும் அதிநவீன அச்சுறுத்தல்களுக்கு எதிராக மொபைல் சாதனங்களைப் பாதுகாப்பதன் முக்கியத்துவத்தை இது எடுத்துக்காட்டுகிறது.

WyrmSpy பல ஆண்டுகளாக சைபர் குற்றவாளிகளால் பயன்படுத்தப்பட்டிருக்கலாம்

Axiom, Blackfly, Brass Typhoon (முன்னர் பேரியம்), ப்ரோன்ஸ் அட்லஸ், HOODOO, Wicked Panda மற்றும் Winnti போன்ற பல்வேறு பெயர்களால் அங்கீகரிக்கப்பட்ட APT41 என்ற சைபர் கிரைம் அமைப்பு, சைபர் நிலப்பரப்பில் ஒரு நிலையான இருப்பைக் காட்டுகிறது. இந்த அதிநவீன அச்சுறுத்தல் நடிகர் அறிவுசார் சொத்து மற்றும் முக்கியமான தகவல்களை நடத்தும் நோக்கத்துடன் பல்வேறு தொழில்களை குறிவைத்து வருகிறார்.

சமீப காலங்களில், Google Command and Control (GC2) எனப்படும் திறந்த மூல சிவப்பு குழு கருவியைப் பயன்படுத்தி தாக்குதல்களைத் தொடங்குவதற்கு APT41 பொறுப்பேற்றுள்ளது. இந்த தாக்குதல்கள் குறிப்பாக தைவான் மற்றும் இத்தாலியில் உள்ள ஊடகங்கள் மற்றும் வேலை தளங்களை நோக்கி இயக்கப்பட்டன, இது கூட்டு எப்போதும் உருவாகி வரும் தந்திரோபாயங்கள் மற்றும் இலக்குகளை நிரூபிக்கிறது.

அவர்களின் மொபைல் கண்காணிப்பு மென்பொருள் பிரச்சாரத்தைப் பொறுத்தவரை, ஆரம்ப ஊடுருவலின் சரியான முறை வெளியிடப்படவில்லை, ஆனால் சமூக பொறியியல் நுட்பங்களைப் பயன்படுத்துவதில் சந்தேகங்கள் உள்ளன. WyrmSpy முதன்முதலில் 2017 இல் கண்டறியப்பட்டது, இது மொபைல் துறையில் குழுவின் நீடித்த மற்றும் தொடர்ச்சியான செயல்பாடுகளைக் குறிக்கிறது. பின்னர், 2021 ஆம் ஆண்டின் தொடக்கத்தில் DragonEgg கண்டறியப்பட்டது, மேலும் இந்த மால்வேரின் புதிய மாதிரிகள் ஏப்ரல் 2023 இல் காணப்பட்டன, இது APT41 ஆல் தொடர்ந்து அச்சுறுத்தலை வலியுறுத்துகிறது.

WyrmSpy ஆண்ட்ராய்டு மால்வேரில் காணப்படும் அச்சுறுத்தும் திறன்கள்

WyrmSpy பயனர் அறிவிப்புகளைக் காட்டுவதற்குப் பொறுப்பான இயல்புநிலை கணினி பயன்பாடாக மாறுவேடமிட்டு ஏமாற்றும் தந்திரங்களைப் பயன்படுத்துகிறது. பிந்தைய மாறுபாடுகளில், தீம்பொருள் வயதுவந்த வீடியோ உள்ளடக்கம், பைடு வாய்மை மற்றும் அடோப் ஃப்ளாஷ் போன்ற பயன்பாடுகளில் உட்பொதிக்கப்பட்டது. இந்த முரட்டு பயன்பாடுகள் அதிகாரப்பூர்வ கூகுள் ப்ளே ஸ்டோர் மூலம் விநியோகிக்கப்பட்டது என்பதற்கு எந்த ஆதாரமும் இல்லை என்பது குறிப்பிடத்தக்கது. WyrmSpy ஆல் குறிவைக்கப்பட்ட பாதிக்கப்பட்டவர்களின் சரியான எண்ணிக்கை தெரியவில்லை.

IP முகவரி 121[.]42[.]149[.]52 உடன் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்தைப் பயன்படுத்துவதன் மூலம் WyrmSpy மற்றும் APT41 க்கு இடையேயான தொடர்பு தெளிவாகிறது. இந்த IP முகவரியானது APT41 குழுவின் உள்கட்டமைப்புடன் முன்னர் தொடர்புபடுத்தப்பட்ட 'vpn2.umisen[.]com' டொமைனுடன் ஒத்துப்போகிறது.

வெற்றிகரமாக நிறுவப்பட்டதும், WyrmSpy ஊடுருவும் அனுமதிகளைக் கோருகிறது, இது சமரசம் செய்யப்பட்ட ஆண்ட்ராய்டு சாதனத்தில் அதிநவீன தரவு சேகரிப்பு மற்றும் வெளியேற்றும் நடவடிக்கைகளை செயல்படுத்த அச்சுறுத்தலை அனுமதிக்கிறது. தீம்பொருள் புகைப்படங்கள், இருப்பிடத் தரவு, எஸ்எம்எஸ் செய்திகள் மற்றும் ஆடியோ பதிவுகள் உள்ளிட்ட முக்கியமான பயனர் தகவல்களை சேகரிக்கும் திறன் கொண்டது.

WyrmSpy ஆனது C2 சேவையகத்திலிருந்து பதிவிறக்கம் செய்யப்பட்ட தொகுதிகளைப் பயன்படுத்துவதன் மூலம் அதன் தகவமைப்புத் திறனையும் நிரூபித்துள்ளது. இந்த அணுகுமுறை மால்வேரைக் கண்டறிவதைத் தவிர்க்கும் போது அதன் தரவு சேகரிப்புத் திறனை மேம்படுத்த அனுமதிக்கிறது.

கூடுதலாக, WyrmSpy மேம்பட்ட செயல்பாடுகளைக் காட்டுகிறது, ஏனெனில் இது ஆண்ட்ராய்டு இயக்க முறைமையில் உள்ள பாதுகாப்பு அம்சமான பாதுகாப்பு-மேம்படுத்தப்பட்ட லினக்ஸை (SELinux) முடக்கலாம். மேலும், சமரசம் செய்யப்பட்ட மொபைல் சாதனங்களில் உயர்ந்த சலுகைகளைப் பெற KingRoot11 போன்ற ரூட்டிங் கருவிகளைப் பயன்படுத்துகிறது.