DragonEgg Mobile -haittaohjelma

Turvallisuustutkijoiden mukaan Kiinan valtion tukema vakoiluryhmä, joka tunnetaan nimellä APT41, joka tunnetaan myös muilla aliaksilla, kuten Barium, Earth Baku ja Winnti, on käyttänyt aktiivisesti WyrmSpyä ja DragonEgg-spyware-haittaohjelmia Android-mobiililaitteiden kohdistamiseen. Vaikka APT41 on aiemmin luottanut verkkosovellushyökkäyksiin ja ohjelmistojen haavoittuvuuksiin kohdistuakseen organisaatioihin maailmanlaajuisesti, se on hiljattain muuttanut taktiikkaansa kehittääkseen haittaohjelmia, jotka on räätälöity erityisesti Android-käyttöjärjestelmää varten.

Tässä uudessa lähestymistavassa APT41 hyödyntää olemassa olevaa Command-and-Control-infrastruktuuriaan, IP-osoitteita ja verkkotunnuksia kommunikoimaan ja hallitsemaan kahta haittaohjelmaversiota, WyrmSpyä ja DragonEggiä, jotka on suunniteltu erityisesti Android-laitteille. Tämä strateginen muutos esittelee ryhmän sopeutumiskykyä ja halukkuutta hyödyntää mobiilialustoja vakoilukampanjoissaan ja esittelee kehittyvän uhkakuvan organisaatioille maailmanlaajuisesti.

APT41 laajentaa uhkaavaa työkaluvalikoimaansa

APT41 käytti todennäköisesti sosiaalisen suunnittelun taktiikkaa levittääkseen WyrmSpy- ja DragonEgg-vakoiluohjelmauhkia Android-laitteisiin. He saavuttivat tämän naamioimalla WyrmSpyn oletusarvoiseksi Android-järjestelmäsovellukseksi ja DragonEggin kolmannen osapuolen Android-näppäimistöiksi ja viestisovelluksiksi, mukaan lukien suositut alustat, kuten Telegram. Toistaiseksi on epäselvää, tapahtuiko näiden kahden haittaohjelmatyypin levitys virallisen Google Play Kaupan kautta vai muista lähteistä peräisin olevien .apk-tiedostojen kautta.

Merkittävä kiinnostava kohde on ryhmän samankaltaisten Android-allekirjoitusvarmenteiden käyttö sekä WyrmSpylle että DragonEggille. Pelkästään tähän samankaltaisuuteen luottaminen ei kuitenkaan riitä tarkkaan määrittelyyn, sillä kiinalaisten uhkaryhmien tiedetään jakavan hakkerointityökaluja ja -tekniikoita, mikä tekee tunnistamisesta haastavaa. Ratkaiseva todiste, joka johti niiden määrittämiseen, oli havainto, että haittaohjelman Command-and-Control (C2) -infrastruktuurissa oli tarkka IP-osoite ja verkkotunnus, joita APT41 oli käyttänyt useissa kampanjoissa toukokuusta 2014 elokuuhun 2020. Tämä ratkaiseva linkki vahvisti mobiilivakoiluohjelman ja APT41-uhkatekijän yhteyden.

Sosiaalisen suunnittelun tekniikoiden käyttö ja Android-sovellusten manipulointi valvontahaittaohjelmien toimittamisessa korostaa mobiililaitteiden turvallisuuden merkitystä. Käyttäjiä kehotetaan olemaan varovaisia lataaessaan sovelluksia epävirallisista lähteistä ja käyttämään hyvämaineisia tietoturvaratkaisuja suojautuakseen tällaisilta kohdistetuilta hyökkäyksiltä. Lisäksi valppaana pysyminen manipulointiyrityksissä ja ohjelmistojen säännöllinen päivittäminen voi auttaa vähentämään riskiä joutua uhriksi uhkaaville sovelluksille, kuten WyrmSpy ja DragonEgg.

DragonEgg Siphons arkaluonteisia tietoja vaarantuneista Android-laitteista

DragonEgg on huolestuttavan tunkeileva, koska se vaatii laajoja käyttöoikeuksia asennuksen yhteydessä. Tämä valvontahaittaohjelma on varustettu edistyneillä tiedonkeruu- ja suodatusominaisuuksilla. Lisäksi DragonEgg hyödyntää toissijaista hyötykuormaa nimeltä smallmload.jar, joka antaa haittaohjelmalle lisää toimintoja, jolloin se voi suodattaa useita arkaluonteisia tietoja tartunnan saaneelta laitteelta. Tämä sisältää laitteen tallennustiedostot, valokuvat, yhteystiedot, viestit ja äänitallenteet. Toinen huomionarvoinen piirre DragonEggissä on sen kommunikointi Command-and-Control (C2) -palvelimen kanssa tuntemattoman kolmannen asteen moduulin hakemiseksi, joka naamioituu rikostekniseksi ohjelmaksi.

WyrmSpyn ja DragonEggin löytö on koskettava muistutus kehittyneiden Android-haittaohjelmien aiheuttamasta lisääntyvästä uhasta. Nämä vakoiluohjelmapaketit edustavat valtavaa uhkaa, sillä ne pystyvät salaa keräämään laajan valikoiman tietoja vaarantuneista laitteista. Kun edistyneiden Android-haittaohjelmien maisema kehittyy jatkuvasti, käyttäjien on yhä tärkeämpää pysyä valppaana ja ryhtyä ennakoiviin toimiin laitteidensa ja henkilökohtaisten tietojensa turvaamiseksi. Hyvämaineisten tietoturvaratkaisujen käyttäminen, varovaisuus sovelluksia asennettaessa ja uusista uhista tiedottaminen ovat olennaisia vaiheita tällaisten kehittyneiden valvontahaittaohjelmien aiheuttaman riskin vähentämisessä.