Programari maliciós per a mòbils DragonEgg
Segons els investigadors de seguretat, un grup d'espionatge patrocinat per l'estat xinès identificat com APT41, també conegut per altres àlies com Barium, Earth Baku i Winnti, ha estat emprant activament WyrmSpy i el programari maliciós DragonEgg per orientar dispositius mòbils Android. Tot i que APT41 té un historial de confiar en atacs d'aplicacions web i vulnerabilitats de programari per orientar organitzacions a tot el món, recentment ha modificat les seves tàctiques per desenvolupar programari maliciós adaptat explícitament al sistema operatiu Android.
En aquest nou enfocament, APT41 utilitza la seva infraestructura de comandament i control, adreces IP i dominis existents per comunicar-se i controlar les dues variants de programari maliciós, WyrmSpy i DragonEgg, dissenyades específicament per a dispositius Android. Aquest canvi estratègic mostra l'adaptabilitat i la voluntat del grup d'explotar plataformes mòbils en les seves campanyes d'espionatge, presentant un panorama d'amenaces en evolució per a les organitzacions a nivell mundial.
APT41 està ampliant el seu amenaçador arsenal d'eines
APT41 probablement va utilitzar tàctiques d'enginyeria social per distribuir les amenaces de programari espia WyrmSpy i DragonEgg als dispositius Android. Ho van aconseguir disfressant WyrmSpy com a aplicació predeterminada del sistema Android i DragonEgg com a teclats i aplicacions de missatgeria d'Android de tercers, incloses plataformes populars com Telegram. De moment, encara no està clar si la distribució d'aquests dos tipus de programari maliciós es va produir a través de la botiga oficial de Google Play o mitjançant fitxers .apk d'altres fonts.
Un punt d'interès significatiu és l'ús per part del grup de certificats de signatura d'Android similars tant per a WyrmSpy com per a DragonEgg. Tanmateix, confiar únicament en aquesta similitud no és suficient per a una atribució precisa, ja que se sap que els grups d'amenaça xinesos comparteixen eines i tècniques de pirateria, cosa que fa que la identificació sigui difícil. L'evidència concloent que va portar a la seva atribució va ser el descobriment que la infraestructura de comandament i control (C2) del programari maliciós presentava l'adreça IP exacta i el domini web que APT41 havia utilitzat en diverses campanyes que van des del maig del 2014 fins a l'agost del 2020. Aquest enllaç crucial va consolidar l'associació del programari espia mòbil amb l'actor de l'amenaça APT41.
L'ús de tècniques d'enginyeria social i la manipulació d'aplicacions d'Android per oferir programari maliciós de vigilància subratlla la importància de la seguretat dels dispositius mòbils. Es recomana als usuaris que tinguin precaució quan baixin aplicacions de fonts no oficials i que utilitzin solucions de seguretat de bona reputació per protegir-se d'aquests atacs dirigits. A més, mantenir-se atent als intents d'enginyeria social i actualitzar regularment el programari pot ajudar a mitigar el risc de ser víctime d'aplicacions amenaçadores com WyrmSpy i DragonEgg.
DragonEgg Sifons informació sensible de dispositius Android compromesos
DragonEgg mostra un nivell d'intrusió preocupant, ja que sol·licita permisos amplis en la instal·lació. Aquest programari maliciós de vigilància està equipat amb capacitats avançades de recollida de dades i d'exfiltració. A més, DragonEgg aprofita una càrrega útil secundària anomenada smallmload.jar, que atorga al programari maliciós funcions addicionals, cosa que li permet exfiltrar diverses dades sensibles del dispositiu infectat. Això inclou fitxers d'emmagatzematge del dispositiu, fotos, contactes, missatges i enregistraments d'àudio. Un altre aspecte destacable de DragonEgg és la seva comunicació amb un servidor Command-and-Control (C2) per recuperar un mòdul terciari desconegut que es fa passar per un programa forense.
El descobriment de WyrmSpy i DragonEgg serveix com a recordatori commovedor de l'amenaça creixent que suposa el programari maliciós d'Android sofisticat. Aquests paquets de programari espia representen una amenaça formidable, capaç de recopilar de manera sigilosa una àmplia gamma de dades de dispositius compromesos. A mesura que el panorama del programari maliciós avançat d'Android continua evolucionant, és cada cop més crucial que els usuaris estiguin alerta i prenguin mesures proactives per protegir els seus dispositius i la seva informació personal. Utilitzar solucions de seguretat de bona reputació, tenir precaució a l'hora d'instal·lar aplicacions i mantenir-se informat sobre les amenaces emergents són passos essencials per mitigar el risc que suposa aquest programari maliciós de vigilància avançada.
