WyrmSpy Mobil Kötü Amaçlı Yazılım
Üretken Çin destekli ulus devlet aktörü APT41, yakın zamanda WyrmSpy ve DragonEgg olarak bilinen daha önce belgelenmemiş iki Android casus yazılım türünün keşfiyle ilişkilendirildi. APT41, web'e dönük uygulamalardan yararlanma ve geleneksel uç nokta cihazlarına sızma konusundaki uzmanlığıyla ünlüdür.
Kötü amaçlı yazılım cephaneliğini mobil cihazları içerecek şekilde genişleten APT 41 , gıpta ile bakılan kurumsal ve kişisel verileri barındıran yüksek değerli hedefler olarak mobil uç noktaların önemini açıkça göstermektedir. Bu, mobil cihazları APT 41 gibi köklü tehdit aktörlerinin oluşturduğu karmaşık tehditlere karşı korumanın artan önemini vurgulamaktadır.
WyrmSpy Siber Suçlular Tarafından Yıllardır Kullanılmış Olabilir
Axiom, Blackfly, Brass Typhoon (eski adıyla Barium), Bronze Atlas, HOODOO, Wicked Panda ve Winnti gibi çeşitli isimlerle de tanınan siber suç grubu APT41, en az 2007'den beri faaliyet gösteriyor ve siber ortamda kalıcı bir varlık gösteriyor. Bu gelişmiş tehdit aktörü, fikri mülkiyet ve hassas bilgileri yürütmek amacıyla çeşitli sektörleri hedefliyor.
Son zamanlarda APT41, Google Komuta ve Kontrol (GC2) adlı açık kaynaklı bir kırmızı takım oluşturma aracını kullanarak saldırıları başlatmaktan sorumluydu. Bu saldırılar, kolektifin sürekli gelişen taktiklerini ve hedeflerini gösteren, özellikle Tayvan ve İtalya'daki medya ve iş platformlarına yönelikti.
Mobil gözetleme yazılımı kampanyasına gelince, ilk müdahalenin kesin yöntemi açıklanmadı, ancak sosyal mühendislik tekniklerinin kullanıldığına dair şüpheler var. WyrmSpy ilk olarak 2017'de tespit edildi ve bu, grubun mobil alemde uzun süreli ve devam eden faaliyetlerini gösteriyor. Ardından, DragonEgg 2021'in başında tanımlandı ve bu kötü amaçlı yazılımın yeni örnekleri Nisan 2023 gibi yakın bir tarihte gözlemlendi ve bu da APT41'in oluşturduğu devam eden tehdide vurgu yaptı.
WyrmSpy Android Kötü Amaçlı Yazılımında Bulunan Tehdit Edici Yetenekler
WyrmSpy, kendisini kullanıcı bildirimlerini görüntülemekten sorumlu varsayılan bir sistem uygulaması olarak gizleyerek aldatıcı taktikler kullanır. Daha sonraki varyasyonlarda, kötü amaçlı yazılım, yetişkinlere yönelik video içeriği gibi görünen Baidu Waimai ve Adobe Flash gibi uygulamalara gömüldü. Özellikle, bu hileli uygulamaların resmi Google Play Store aracılığıyla dağıtıldığına dair hiçbir kanıt yoktur. WyrmSpy tarafından hedeflenen kurbanların tam sayısı bilinmiyor.
WyrmSpy ve APT41 arasındaki bağlantı, IP adresi 121[.]42[.]149[.]52 olan bir Komuta-ve-Kontrol (C2) sunucusunu kullanması aracılığıyla belirginleşir. Bu IP adresi, daha önce APT41 grubunun altyapısıyla ilişkilendirilmiş olan 'vpn2.umisen[.]com' etki alanına karşılık gelir.
Başarıyla yüklendikten sonra, WyrmSpy müdahaleci izinler ister ve tehdidin güvenliği ihlal edilmiş Android cihazında karmaşık veri toplama ve sızdırma etkinlikleri yürütmesine izin verir. Kötü amaçlı yazılım, fotoğraflar, konum verileri, SMS mesajları ve ses kayıtları dahil olmak üzere hassas kullanıcı bilgilerini toplayabilir.
WyrmSpy ayrıca bir C2 sunucusundan indirilen modülleri kullanarak uyarlanabilirliğini göstermiştir. Bu yaklaşım, kötü amaçlı yazılımın tespitten kaçarken veri toplama yeteneklerini geliştirmesine olanak tanır.
Ek olarak WyrmSpy, Android işletim sistemindeki bir güvenlik özelliği olan Security-Enhanced Linux'u (SELinux) devre dışı bırakabildiği için gelişmiş işlevsellikler gösterir. Ayrıca, güvenliği ihlal edilmiş mobil cihazlarda yükseltilmiş ayrıcalıklar elde etmek için KingRoot11 gibi köklendirme araçlarından yararlanır.
