DragonEgg Mobile Malware

Σύμφωνα με ερευνητές ασφαλείας, μια κινεζική κρατική ομάδα κατασκοπείας που προσδιορίζεται ως APT41, γνωστή και με άλλα ψευδώνυμα όπως Barium, Earth Baku και Winnti, χρησιμοποιεί ενεργά το WyrmSpy και το κακόβουλο λογισμικό κατασκοπείας DragonEgg για να στοχεύσει κινητές συσκευές Android. Ενώ το APT41 έχει ιστορικό να βασίζεται σε επιθέσεις εφαρμογών Ιστού και ευπάθειες λογισμικού για να στοχεύει οργανισμούς σε όλο τον κόσμο, πρόσφατα άλλαξε τις τακτικές του για να αναπτύξει κακόβουλο λογισμικό προσαρμοσμένο ρητά για το λειτουργικό σύστημα Android.

Σε αυτή τη νέα προσέγγιση, το APT41 χρησιμοποιεί την υπάρχουσα υποδομή Command-and-Control, τις διευθύνσεις IP και τους τομείς για να επικοινωνεί και να ελέγχει τις δύο παραλλαγές κακόβουλου λογισμικού, το WyrmSpy και το DragonEgg, που έχουν σχεδιαστεί ειδικά για συσκευές Android. Αυτή η στρατηγική αλλαγή δείχνει την προσαρμοστικότητα και την προθυμία του ομίλου να εκμεταλλευτεί τις πλατφόρμες κινητής τηλεφωνίας στις εκστρατείες κατασκοπείας του, παρουσιάζοντας ένα εξελισσόμενο τοπίο απειλών για οργανισμούς παγκοσμίως.

Το APT41 επεκτείνει το απειλητικό οπλοστάσιο εργαλείων του

Το APT41 πιθανότατα χρησιμοποίησε τακτικές κοινωνικής μηχανικής για τη διανομή των απειλών κατασκοπευτικού λογισμικού WyrmSpy και DragonEgg σε συσκευές Android. Το πέτυχαν μεταμφιέζοντας το WyrmSpy ως προεπιλεγμένη εφαρμογή συστήματος Android και το DragonEgg ως πληκτρολόγια Android τρίτων κατασκευαστών και εφαρμογές ανταλλαγής μηνυμάτων, συμπεριλαμβανομένων δημοφιλών πλατφορμών όπως το Telegram. Προς το παρόν, παραμένει ασαφές εάν η διανομή αυτών των δύο τύπων κακόβουλου λογισμικού έγινε μέσω του επίσημου Google Play Store ή μέσω αρχείων .apk από άλλες πηγές.

Ένα σημαντικό σημείο ενδιαφέροντος είναι η χρήση παρόμοιων πιστοποιητικών υπογραφής Android από την ομάδα τόσο για το WyrmSpy όσο και για το DragonEgg. Ωστόσο, το να βασιζόμαστε αποκλειστικά σε αυτήν την ομοιότητα δεν αρκεί για την ακριβή απόδοση, καθώς οι κινεζικές ομάδες απειλών είναι γνωστό ότι μοιράζονται εργαλεία και τεχνικές hacking, καθιστώντας την αναγνώριση δύσκολη. Τα πειστικά στοιχεία που οδήγησαν στην απόδοσή τους ήταν η ανακάλυψη ότι η υποδομή Command-and-Control (C2) του κακόβουλου λογισμικού παρουσίαζε την ακριβή διεύθυνση IP και τον τομέα Ιστού που είχε χρησιμοποιήσει το APT41 σε πολλές καμπάνιες που εκτείνονται από τον Μάιο του 2014 έως τον Αύγουστο του 2020. Αυτός ο κρίσιμος σύνδεσμος ενίσχυσε τη συσχέτιση του λογισμικού κατασκοπείας για κινητά με το APT41.

Η χρήση τεχνικών κοινωνικής μηχανικής και ο χειρισμός εφαρμογών Android για την παροχή κακόβουλου λογισμικού παρακολούθησης υπογραμμίζει τη σημασία της ασφάλειας των φορητών συσκευών. Συνιστάται στους χρήστες να είναι προσεκτικοί κατά τη λήψη εφαρμογών από ανεπίσημες πηγές και να χρησιμοποιούν αξιόπιστες λύσεις ασφαλείας για την προστασία από τέτοιες στοχευμένες επιθέσεις. Επιπλέον, η παραμονή σε επαγρύπνηση έναντι των προσπαθειών κοινωνικής μηχανικής και η τακτική ενημέρωση του λογισμικού μπορεί να βοηθήσει στον μετριασμό του κινδύνου να πέσετε θύματα απειλητικών εφαρμογών όπως το WyrmSpy και το DragonEgg.

DragonEgg Siphons Ευαίσθητες πληροφορίες από παραβιασμένες συσκευές Android

Το DragonEgg παρουσιάζει ένα ανησυχητικό επίπεδο παρεμβατικότητας καθώς ζητά εκτεταμένες άδειες κατά την εγκατάσταση. Αυτό το κακόβουλο λογισμικό παρακολούθησης είναι εξοπλισμένο με προηγμένες δυνατότητες συλλογής και διήθησης δεδομένων. Επιπλέον, το DragonEgg αξιοποιεί ένα δευτερεύον ωφέλιμο φορτίο που ονομάζεται smallmload.jar, το οποίο παρέχει στο κακόβουλο λογισμικό περαιτέρω λειτουργίες, επιτρέποντάς του να διεγείρει διάφορα ευαίσθητα δεδομένα από τη μολυσμένη συσκευή. Αυτό περιλαμβάνει αρχεία αποθήκευσης συσκευής, φωτογραφίες, επαφές, μηνύματα και ηχογραφήσεις. Μια άλλη αξιοσημείωτη πτυχή του DragonEgg είναι η επικοινωνία του με έναν διακομιστή Command-and-Control (C2) για την ανάκτηση μιας άγνωστης τριτοβάθμιας ενότητας που μεταμφιέζεται ως πρόγραμμα εγκληματολογίας.

Η ανακάλυψη των WyrmSpy και DragonEgg χρησιμεύει ως μια οδυνηρή υπενθύμιση της κλιμακούμενης απειλής που θέτει το εξελιγμένο κακόβουλο λογισμικό Android. Αυτά τα πακέτα spyware αντιπροσωπεύουν μια τρομερή απειλή, ικανή να συλλέγει κρυφά ένα ευρύ φάσμα δεδομένων από παραβιασμένες συσκευές. Καθώς το τοπίο του προηγμένου κακόβουλου λογισμικού Android συνεχίζει να εξελίσσεται, καθίσταται όλο και πιο σημαντικό για τους χρήστες να παραμείνουν σε εγρήγορση και να λαμβάνουν προληπτικά μέτρα για την προστασία των συσκευών και των προσωπικών τους πληροφοριών. Η χρήση αξιόπιστων λύσεων ασφαλείας, η προσοχή κατά την εγκατάσταση εφαρμογών και η ενημέρωση σχετικά με τις αναδυόμενες απειλές είναι βασικά βήματα για τον μετριασμό του κινδύνου που ενέχει τέτοιο προηγμένο κακόβουλο λογισμικό παρακολούθησης.