بدافزار موبایل DragonEgg

به گفته محققان امنیتی، یک گروه جاسوسی تحت حمایت دولت چین با نام APT41 که با نام های مستعار دیگری مانند Barium، Earth Baku و Winnti نیز شناخته می شود، به طور فعال از WyrmSpy و بدافزار جاسوسی DragonEgg برای هدف قرار دادن دستگاه های تلفن همراه اندروید استفاده می کند. در حالی که APT41 سابقه تکیه بر حملات برنامه های وب و آسیب پذیری های نرم افزاری برای هدف قرار دادن سازمان ها در سرتاسر جهان را دارد، اخیراً تاکتیک های خود را برای توسعه بدافزارهای متناسب با سیستم عامل اندروید تغییر داده است.

در این رویکرد جدید، APT41 از زیرساخت‌های Command-and-Control، آدرس‌های IP و دامنه‌های موجود خود برای برقراری ارتباط و کنترل دو نوع بدافزار WyrmSpy و DragonEgg، که به‌طور خاص برای دستگاه‌های اندرویدی طراحی شده‌اند، استفاده می‌کند. این تغییر استراتژیک، سازگاری و تمایل این گروه برای بهره‌برداری از پلتفرم‌های تلفن همراه در کمپین‌های جاسوسی خود را نشان می‌دهد و یک چشم‌انداز تهدید در حال تکامل را برای سازمان‌ها در سطح جهانی ارائه می‌کند.

APT41 در حال گسترش زرادخانه ابزارهای تهدیدکننده خود است

APT41 احتمالاً از تاکتیک‌های مهندسی اجتماعی برای توزیع تهدیدات جاسوس‌افزار WyrmSpy و DragonEgg در دستگاه‌های Android استفاده می‌کند. آنها این کار را با پنهان کردن WyrmSpy به عنوان یک برنامه پیش‌فرض سیستم اندروید و DragonEgg به‌عنوان صفحه‌کلید و برنامه‌های پیام‌رسان اندروید شخص ثالث، از جمله پلتفرم‌های محبوب مانند تلگرام، انجام دادند. در حال حاضر، مشخص نیست که آیا توزیع این دو نوع بدافزار از طریق فروشگاه رسمی Google Play یا از طریق فایل‌های apk. از منابع دیگر رخ داده است.

نکته قابل توجه استفاده گروه از گواهی های امضای مشابه اندروید برای WyrmSpy و DragonEgg است. با این حال، تنها تکیه بر این شباهت برای تخصیص دقیق کافی نیست، زیرا گروه‌های تهدید چینی به اشتراک‌گذاری ابزارها و تکنیک‌های هک معروف هستند که شناسایی را به چالش می‌کشد. شواهد قطعی که منجر به انتساب آنها شد، کشف این بود که زیرساخت فرماندهی و کنترل (C2) بدافزار دارای آدرس IP و دامنه وب دقیقی است که APT41 در کمپین‌های متعددی از ماه مه 2014 تا آگوست 2020 استفاده کرده بود. این پیوند مهم ارتباط تهدید جاسوس‌افزار موبایل با APT41 را مستحکم کرد.

استفاده از تکنیک‌های مهندسی اجتماعی و دستکاری برنامه‌های Android برای ارائه بدافزار نظارتی بر اهمیت امنیت دستگاه تلفن همراه تأکید می‌کند. به کاربران توصیه می شود هنگام دانلود برنامه ها از منابع غیر رسمی احتیاط کنند و از راه حل های امنیتی معتبر برای محافظت در برابر چنین حملات هدفمندی استفاده کنند. علاوه بر این، هوشیاری در برابر تلاش‌های مهندسی اجتماعی و به‌روزرسانی منظم نرم‌افزار می‌تواند به کاهش خطر قربانی شدن در برنامه‌های تهدیدآمیز مانند WyrmSpy و DragonEgg کمک کند.

DragonEgg اطلاعات حساس را از دستگاه‌های اندرویدی در معرض خطر قرار می‌دهد

DragonEgg سطح نگران کننده ای از نفوذ را نشان می دهد زیرا مجوزهای گسترده ای را هنگام نصب درخواست می کند. این بدافزار نظارتی مجهز به قابلیت‌های پیشرفته جمع‌آوری و استخراج داده‌ها است. علاوه بر این، DragonEgg از یک بار ثانویه به نام smallmload.jar استفاده می‌کند که به بدافزار قابلیت‌های بیشتری می‌دهد و آن را قادر می‌سازد تا داده‌های حساس مختلف را از دستگاه آلوده خارج کند. این شامل فایل های ذخیره سازی دستگاه، عکس ها، مخاطبین، پیام ها و ضبط های صوتی است. یکی دیگر از جنبه های قابل توجه DragonEgg ارتباط آن با یک سرور Command-and-Control (C2) برای بازیابی یک ماژول سوم ناشناخته است که به عنوان یک برنامه پزشکی قانونی ظاهر می شود.

کشف WyrmSpy و DragonEgg یادآور تهدید فزاینده ای است که بدافزار پیچیده اندروید ایجاد می کند. این بسته‌های جاسوس‌افزار تهدیدی بزرگ را نشان می‌دهند که قادر به جمع‌آوری مخفیانه طیف گسترده‌ای از داده‌ها از دستگاه‌های در معرض خطر است. همانطور که چشم انداز بدافزار پیشرفته اندروید به تکامل ادامه می دهد، هوشیاری کاربران و اتخاذ اقدامات پیشگیرانه برای محافظت از دستگاه ها و اطلاعات شخصی خود به طور فزاینده ای حیاتی می شود. استفاده از راه‌حل‌های امنیتی معتبر، احتیاط در هنگام نصب برنامه‌ها، و مطلع ماندن از تهدیدات نوظهور، گام‌های اساسی در کاهش خطر ناشی از چنین بدافزارهای نظارتی پیشرفته هستند.