DragonEgg mobiili pahavara

Turvateadlaste sõnul on Hiina riigi toetatud spionaažirühmitus, mille nimeks on APT41 ja mida tuntakse ka teiste varjunimedega, nagu Barium, Earth Baku ja Winnti, aktiivselt kasutanud WyrmSpy ja DragonEgg nuhkvara pahavara Androidi mobiilseadmete sihtimiseks. Kuigi APT41 on varem tuginenud veebirakenduste rünnakutele ja tarkvara haavatavustele, et sihtida organisatsioone üle maailma, on see hiljuti muutnud oma taktikat, et arendada pahavara, mis on spetsiaalselt kohandatud Androidi operatsioonisüsteemi jaoks.

Selles uues lähenemisviisis kasutab APT41 oma olemasolevat käsu-ja juhtimise infrastruktuuri, IP-aadresse ja domeene, et suhelda ja juhtida kahte pahavaravarianti, WyrmSpy ja DragonEgg, mis on spetsiaalselt loodud Android-seadmete jaoks. See strateegiline nihe näitab grupi kohanemisvõimet ja valmisolekut oma spionaažikampaaniates mobiilseid platvorme ära kasutada, esitledes organisatsioonide jaoks ülemaailmselt arenevat ohumaastikku.

APT41 laiendab oma ähvardavat tööriistade arsenali

APT41 kasutas tõenäoliselt sotsiaalse inseneri taktikat, et levitada WyrmSpy ja DragonEgg nuhkvaraohtusid Android-seadmetele. Nad saavutasid selle, maskeerides WyrmSpy Androidi vaikesüsteemirakenduseks ja DragonEggi kolmanda osapoole Androidi klaviatuurideks ja sõnumsiderakendusteks, sealhulgas populaarseteks platvormideks nagu Telegram. Praeguse seisuga on ebaselge, kas neid kahte tüüpi pahavara levitati ametliku Google Play poe või muudest allikatest pärit apk-failide kaudu.

Märkimisväärne huvipunkt on grupi sarnaste Androidi allkirjastamissertifikaatide kasutamine nii WyrmSpy kui ka DragonEgg jaoks. Kuid ainult sellele sarnasusele tuginemisest ei piisa täpseks omistamiseks, kuna Hiina ohurühmad jagavad teadaolevalt häkkimistööriistu ja -tehnikaid, mis muudab tuvastamise keeruliseks. Nende omistamiseni viinud veenev tõendusmaterjal oli avastus, et pahavara Command-and-Control (C2) infrastruktuur sisaldas täpset IP-aadressi ja veebidomeeni, mida APT41 oli kasutanud mitmes kampaanias, mis kestsid 2014. aasta maist kuni 2020. aasta augustini. See oluline seos tugevdas mobiilse nuhkvara seost APT41 ohuteguriga.

Sotsiaalse inseneri tehnikate kasutamine ja Androidi rakendustega manipuleerimine seire pahavara edastamiseks rõhutab mobiilseadmete turvalisuse tähtsust. Kasutajatel soovitatakse mitteametlikest allikatest rakenduste allalaadimisel olla ettevaatlik ja kasutada selliste sihitud rünnakute eest kaitsmiseks mainekaid turbelahendusi. Lisaks võib sotsiaalse manipuleerimise katsete suhtes valvsus ja tarkvara regulaarne värskendamine aidata vähendada ohtu sattuda ähvardavate rakenduste, nagu WyrmSpy ja DragonEgg, ohvriks.

DragonEgg sifoonib tundlikku teavet ohustatud Android-seadmetest

DragonEgg on murettekitav pealetükkivuse tase, kuna see nõuab installimisel ulatuslikke õigusi. See seire pahavara on varustatud täiustatud andmete kogumise ja väljafiltreerimise võimalustega. Lisaks kasutab DragonEgg sekundaarset kasulikku koormust nimega smallmload.jar, mis annab pahavarale täiendavaid funktsioone, võimaldades sellel nakatunud seadmest erinevaid tundlikke andmeid välja filtreerida. See hõlmab seadme salvestusfaile, fotosid, kontakte, sõnumeid ja helisalvestisi. Veel üks DragonEggi tähelepanuväärne aspekt on selle suhtlus Command-and-Control (C2) serveriga, et hankida tundmatu kolmanda taseme moodul, mis maskeerub kohtuekspertiisiprogrammina.

WyrmSpy ja DragonEggi avastamine on terav meeldetuletus arenevast ohust, mida tekitab keerukas Androidi pahavara. Need nuhkvarapaketid kujutavad endast tohutut ohtu, mis on võimelised koguma vargsi ohustatud seadmetest laia valikut andmeid. Kuna Androidi täiustatud pahavara maastik areneb jätkuvalt, muutub kasutajate jaoks üha olulisemaks olla tähelepanelik ja võtta ennetavaid meetmeid oma seadmete ja isikliku teabe kaitsmiseks. Mainekate turbelahenduste kasutamine, ettevaatus rakenduste installimisel ja uute ohtudega kursis olemine on olulised sammud sellise täiustatud seire pahavara põhjustatud riskide maandamiseks.