DragonEgg Mobile Malware

Podle bezpečnostních výzkumníků čínská státem sponzorovaná špionážní skupina identifikovaná jako APT41, známá také pod jinými přezdívkami, jako je Barium, Earth Baku a Winnti, aktivně využívá WyrmSpy a spywarový malware DragonEgg k cílení na mobilní zařízení Android. Zatímco APT41 se v minulosti spoléhal na útoky webových aplikací a zranitelnosti softwaru, aby se zaměřil na organizace po celém světě, nedávno změnil svou taktiku na vývoj malwaru šitého na míru přímo pro operační systém Android.

V tomto novém přístupu APT41 využívá svou stávající infrastrukturu Command-and-Control, IP adresy a domény ke komunikaci a ovládání dvou variant malwaru, WyrmSpy a DragonEgg, speciálně navržených pro zařízení Android. Tento strategický posun ukazuje přizpůsobivost a ochotu skupiny využívat mobilní platformy ve svých špionážních kampaních, což představuje vyvíjející se prostředí hrozeb pro organizace po celém světě.

APT41 rozšiřuje svůj hrozivý arzenál nástrojů

APT41 pravděpodobně použil taktiku sociálního inženýrství k distribuci spywarových hrozeb WyrmSpy a DragonEgg do zařízení Android. Dosáhli toho maskováním WyrmSpy jako výchozí systémové aplikace pro Android a DragonEgg za klávesnice Android a aplikace pro zasílání zpráv třetích stran, včetně populárních platforem, jako je Telegram. Zatím není jasné, zda k distribuci těchto dvou typů malwaru došlo prostřednictvím oficiálního obchodu Google Play nebo prostřednictvím souborů .apk z jiných zdrojů.

Významnou zajímavostí je, že skupina používá podobné podpisové certifikáty Android pro WyrmSpy i DragonEgg. Pouhé spoléhání se na tuto podobnost však pro přesnou atribuci nestačí, protože je známo, že čínské skupiny hrozeb sdílejí hackerské nástroje a techniky, což ztěžuje identifikaci. Nezvratným důkazem, který vedl k jejich přiřazení, bylo zjištění, že infrastruktura Command-and-Control (C2) malwaru obsahovala přesnou IP adresu a webovou doménu, kterou APT41 používal v několika kampaních od května 2014 do srpna 2020. Toto zásadní spojení upevnilo spojení mobilního spywaru s aktérem hrozby APT41.

Použití technik sociálního inženýrství a manipulace s aplikacemi pro Android za účelem poskytování sledovacího malwaru podtrhuje význam zabezpečení mobilních zařízení. Uživatelům se doporučuje, aby byli opatrní při stahování aplikací z neoficiálních zdrojů a používali renomovaná bezpečnostní řešení k ochraně před takovými cílenými útoky. Kromě toho, zůstat ostražití vůči pokusům o sociální inženýrství a pravidelně aktualizovat software může pomoci zmírnit riziko, že se stanete obětí ohrožujících aplikací, jako jsou WyrmSpy a DragonEgg.

DragonEgg sifonuje citlivé informace z kompromitovaných zařízení Android

DragonEgg vykazuje znepokojivou úroveň rušivosti, protože při instalaci vyžaduje rozsáhlá oprávnění. Tento sledovací malware je vybaven pokročilými možnostmi sběru dat a exfiltrace. DragonEgg navíc využívá sekundární užitečné zatížení s názvem smallmload.jar, které malwaru poskytuje další funkce a umožňuje mu exfiltrovat různá citlivá data z infikovaného zařízení. To zahrnuje soubory úložiště zařízení, fotografie, kontakty, zprávy a zvukové nahrávky. Dalším pozoruhodným aspektem DragonEgg je jeho komunikace se serverem Command-and-Control (C2) za účelem získání neznámého terciárního modulu, který se vydává za forenzní program.

Objev WyrmSpy a DragonEgg slouží jako ostrá připomínka eskalující hrozby, kterou představuje sofistikovaný malware pro Android. Tyto spywarové balíčky představují impozantní hrozbu, která je schopna tajně shromáždit širokou škálu dat z napadených zařízení. Vzhledem k tomu, že se prostředí pokročilého malwaru pro Android neustále vyvíjí, je pro uživatele stále důležitější zůstat ve střehu a přijímat proaktivní opatření k ochraně svých zařízení a osobních údajů. Používání renomovaných bezpečnostních řešení, opatrnost při instalaci aplikací a neustálé informování o nových hrozbách jsou základními kroky ke zmírnění rizika, které takový pokročilý sledovací malware představuje.