Мобилен зловреден софтуер DragonEgg

Според изследователи по сигурността, спонсорирана от китайската държава шпионска група, идентифицирана като APT41, известна също с други псевдоними като Barium, Earth Baku и Winnti, активно използва WyrmSpy и шпионския софтуер DragonEgg за насочване към мобилни устройства с Android. Въпреки че APT41 има история на разчитане на атаки на уеб приложения и софтуерни уязвимости за насочване към организации по целия свят, наскоро промени тактиката си, за да разработи зловреден софтуер, специално пригоден за операционната система Android.

В този нов подход APT41 използва своята съществуваща инфраструктура за командване и контрол, IP адреси и домейни, за да комуникира и контролира двата варианта на зловреден софтуер, WyrmSpy и DragonEgg, специално проектирани за устройства с Android. Тази стратегическа промяна показва адаптивността и желанието на групата да използва мобилни платформи в своите шпионски кампании, представяйки развиваща се среда на заплахи за организациите в световен мащаб.

APT41 разширява своя заплашителен арсенал от инструменти

APT41 вероятно е използвал тактики за социално инженерство, за да разпространи заплахите за шпионски софтуер WyrmSpy и DragonEgg към устройства с Android. Те постигнаха това, като маскираха WyrmSpy като системно приложение за Android по подразбиране и DragonEgg като Android клавиатури и приложения за съобщения на трети страни, включително популярни платформи като Telegram. Към момента остава неясно дали разпространението на тези два типа зловреден софтуер е станало през официалния Google Play Store или чрез .apk файлове от други източници.

Значителен интерес е използването от групата на подобни сертификати за подписване на Android както за WyrmSpy, така и за DragonEgg. Въпреки това, самото разчитане на това сходство не е достатъчно за точното приписване, тъй като е известно, че китайските заплашителни групи споделят хакерски инструменти и техники, което прави идентификацията предизвикателна. Убедителното доказателство, довело до тяхното приписване, беше откритието, че инфраструктурата за командване и контрол (C2) на злонамерения софтуер съдържа точния IP адрес и уеб домейн, които APT41 е използвал в множество кампании, обхващащи от май 2014 г. до август 2020 г. Тази важна връзка затвърди връзката на мобилния шпионски софтуер с актьора на заплахата APT41.

Използването на техники за социално инженерство и манипулирането на приложения за Android за доставяне на злонамерен софтуер за наблюдение подчертава значението на сигурността на мобилните устройства. Потребителите се съветват да бъдат внимателни, докато изтеглят приложения от неофициални източници и да използват реномирани решения за сигурност, за да се предпазят от такива целеви атаки. Освен това оставането на бдителност срещу опитите за социално инженерство и редовното актуализиране на софтуера може да помогне за намаляване на риска от това да станете жертва на заплашителни приложения като WyrmSpy и DragonEgg.

DragonEgg извлича чувствителна информация от компрометирани устройства с Android

DragonEgg показва тревожно ниво на натрапчивост, тъй като изисква обширни разрешения при инсталиране. Този злонамерен софтуер за наблюдение е оборудван с усъвършенствани възможности за събиране на данни и ексфилтрация. Освен това DragonEgg използва вторичен полезен товар, наречен smallmload.jar, който предоставя на зловредния софтуер допълнителни функционалности, позволявайки му да ексфилтрира различни чувствителни данни от заразеното устройство. Това включва файлове за съхранение на устройството, снимки, контакти, съобщения и аудио записи. Друг забележителен аспект на DragonEgg е неговата комуникация със сървър за командване и управление (C2) за извличане на неизвестен третичен модул, който се маскира като програма за криминалистика.

Откриването на WyrmSpy и DragonEgg служи като трогателно напомняне за ескалиращата заплаха, породена от сложния зловреден софтуер за Android. Тези шпионски софтуерни пакети представляват огромна заплаха, способна тайно да събира широк набор от данни от компрометирани устройства. Тъй като ландшафтът на усъвършенствания злонамерен софтуер за Android продължава да се развива, за потребителите става все по-важно да останат нащрек и да предприемат проактивни мерки за защита на своите устройства и лична информация. Използването на реномирани решения за сигурност, внимаването при инсталиране на приложения и информираността за възникващи заплахи са основни стъпки за намаляване на риска, породен от такъв усъвършенстван зловреден софтуер за наблюдение.