DragonEgg Mobile البرامج الضارة

وفقًا للباحثين الأمنيين ، فإن مجموعة التجسس الصينية التي ترعاها الدولة والمعروفة باسم APT41 ، والمعروفة أيضًا بأسماء مستعارة أخرى مثل Barium و Earth Baku و Winnti ، تستخدم بنشاط WyrmSpy و DragonEgg برامج التجسس الضارة لاستهداف أجهزة Android المحمولة. في حين أن APT41 لديها تاريخ في الاعتماد على هجمات تطبيقات الويب ونقاط ضعف البرامج لاستهداف المؤسسات في جميع أنحاء العالم ، فقد قامت مؤخرًا بتغيير تكتيكاتها لتطوير برامج ضارة مصممة بشكل صريح لنظام التشغيل Android.

في هذا النهج الجديد ، تستخدم APT41 البنية التحتية الحالية للقيادة والتحكم وعناوين IP والمجالات للتواصل والتحكم في متغيري البرامج الضارة ، WyrmSpy و DragonEgg ، المصممة خصيصًا لأجهزة Android. يُظهر هذا التحول الاستراتيجي قدرة المجموعة على التكيف واستعدادها لاستغلال منصات الأجهزة المحمولة في حملات التجسس ، مما يمثل مشهدًا متطورًا للتهديدات للمنظمات على مستوى العالم.

APT41 توسع ترسانة أدواتها التي تشكل تهديدًا

من المحتمل أن تستخدم APT41 تكتيكات الهندسة الاجتماعية لتوزيع تهديدات برامج التجسس WyrmSpy و DragonEgg على أجهزة Android. لقد أنجزوا ذلك من خلال إخفاء WyrmSpy كتطبيق افتراضي لنظام Android و DragonEgg كلوحات مفاتيح Android وتطبيقات مراسلة تابعة لجهات خارجية ، بما في ذلك الأنظمة الأساسية الشائعة مثل Telegram. حتى الآن ، لا يزال من غير الواضح ما إذا كان توزيع هذين النوعين من البرامج الضارة قد حدث من خلال متجر Google Play الرسمي أو عبر ملفات .apk من مصادر أخرى.

من النقاط المهمة المهمة استخدام المجموعة لشهادات توقيع Android مماثلة لكل من WyrmSpy و DragonEgg. ومع ذلك ، فإن الاعتماد فقط على هذا التشابه ليس كافيًا للإسناد الدقيق ، حيث من المعروف أن مجموعات التهديد الصينية تشترك في أدوات وتقنيات القرصنة ، مما يجعل تحديد الهوية أمرًا صعبًا. كان الدليل القاطع الذي أدى إلى إسنادها هو اكتشاف أن البنية التحتية للقيادة والتحكم (C2) للبرامج الضارة تضمنت عنوان IP الدقيق ومجال الويب اللذين استخدمتهما APT41 في حملات متعددة تمتد من مايو 2014 إلى أغسطس 2020. وقد عزز هذا الرابط المهم من ارتباط برامج التجسس المحمولة بممثل التهديد APT41.

يؤكد استخدام تقنيات الهندسة الاجتماعية والتلاعب بتطبيقات Android لتقديم البرامج الضارة للمراقبة على أهمية أمان الأجهزة المحمولة. يُنصح المستخدمون بتوخي الحذر أثناء تنزيل التطبيقات من مصادر غير رسمية واستخدام حلول أمنية حسنة السمعة للحماية من مثل هذه الهجمات المستهدفة. بالإضافة إلى ذلك ، فإن البقاء في حالة يقظة ضد محاولات الهندسة الاجتماعية وتحديث البرامج بانتظام يمكن أن يساعد في التخفيف من خطر الوقوع ضحية لتطبيقات مهددة مثل WyrmSpy و DragonEgg.

DragonEgg Siphons معلومات حساسة من أجهزة Android المعرضة للخطر

تعرض DragonEgg مستوى مقلقًا من التطفل لأنها تطلب أذونات واسعة النطاق عند التثبيت. تم تجهيز هذا البرنامج الخبيث للمراقبة بجمع البيانات المتقدمة وقدرات التسلل. بالإضافة إلى ذلك ، تستفيد DragonEgg من حمولة ثانوية تسمى smallmload.jar ، والتي تمنح البرامج الضارة المزيد من الوظائف ، مما يمكنها من اختراق البيانات الحساسة المختلفة من الجهاز المصاب. يتضمن ذلك ملفات تخزين الجهاز والصور وجهات الاتصال والرسائل والتسجيلات الصوتية. جانب آخر جدير بالملاحظة لـ DragonEgg هو اتصاله بخادم الأوامر والتحكم (C2) لاسترداد وحدة ثلاثية غير معروفة تتنكر كبرنامج للطب الشرعي.

يعد اكتشاف WyrmSpy و DragonEgg بمثابة تذكير مؤثر بالتهديد المتصاعد الذي تشكله برامج Android الضارة المتطورة. تمثل حزم برامج التجسس هذه تهديدًا هائلاً ، فهي قادرة على جمع مجموعة واسعة من البيانات خلسة من الأجهزة المعرضة للخطر. مع استمرار تطور برامج Android الضارة المتقدمة ، يصبح من الضروري بشكل متزايد أن يظل المستخدمون في حالة تأهب واتخاذ إجراءات استباقية لحماية أجهزتهم ومعلوماتهم الشخصية. يعد استخدام حلول الأمان ذات السمعة الطيبة ، وتوخي الحذر عند تثبيت التطبيقات ، والبقاء على اطلاع بالتهديدات الناشئة خطوات أساسية في التخفيف من المخاطر التي تشكلها برامج المراقبة الضارة المتقدمة هذه.