תוכנת זדונית ניידת DragonEgg

לפי חוקרי אבטחה, קבוצת ריגול בחסות מדינה סינית שזוהתה כ-APT41, הידועה גם בכינויים אחרים כמו Barium, Earth Baku ו-Winti, משתמשת באופן פעיל ב-WyrmSpy ובתוכנת הריגול DragonEgg כדי למקד למכשירי אנדרואיד. בעוד ל-APT41 יש היסטוריה של הסתמכות על התקפות של יישומי אינטרנט ופגיעות תוכנה כדי להתמקד בארגונים ברחבי העולם, היא שינתה לאחרונה את הטקטיקה שלה לפיתוח תוכנות זדוניות המותאמות באופן מפורש למערכת ההפעלה אנדרואיד.

בגישה חדשה זו, APT41 מנצלת את תשתית ה-Command-and-Control הקיימת שלה, כתובות IP ודומיינים כדי לתקשר ולשלוט עם שתי גרסאות התוכנות הזדוניות, WyrmSpy ו-DragonEgg, שתוכננו במיוחד עבור מכשירי אנדרואיד. שינוי אסטרטגי זה מציג את יכולת ההסתגלות והנכונות של הקבוצה לנצל פלטפורמות ניידות במסעות הריגול שלה, ומציג נוף איומים מתפתח עבור ארגונים ברחבי העולם.

APT41 מרחיבה את ארסנל הכלים המאיים שלה

APT41 ככל הנראה השתמש בטקטיקות של הנדסה חברתית כדי להפיץ את איומי הריגול של WyrmSpy ו-DragonEgg למכשירי אנדרואיד. הם השיגו זאת על ידי הסוואת WyrmSpy כאפליקציית מערכת אנדרואיד כברירת מחדל ו-DragonEgg כמקלדות אנדרואיד ויישומי הודעות של צד שלישי, כולל פלטפורמות פופולריות כמו טלגרם. נכון לעכשיו, עדיין לא ברור אם ההפצה של שני סוגי תוכנות זדוניות אלה התרחשה דרך חנות Google Play הרשמית או באמצעות קבצי .apk ממקורות אחרים.

נקודת עניין משמעותית היא השימוש של הקבוצה בתעודות חתימה דומות לאנדרואיד עבור WyrmSpy ו- DragonEgg כאחד. עם זאת, ההסתמכות על הדמיון הזה בלבד אינה מספיקה לייחוס מדויק, שכן ידוע שקבוצות איומים סיניות חולקות כלים וטכניקות פריצה, מה שהופך את הזיהוי למאתגר. העדות החותכת שהובילה לייחוסם הייתה הגילוי שתשתית ה-Command-and-Control (C2) של התוכנה הזדונית מכילה את כתובת ה-IP המדויקת ואת תחום האינטרנט שבהם השתמש APT41 במספר מסעות פרסום החל ממאי 2014 ועד אוגוסט 2020. קישור מכריע זה חיזק את הקשר של תוכנת הריגול הנייד עם איום ה-APT41.

השימוש בטכניקות הנדסה חברתית והמניפולציה של יישומי אנדרואיד כדי לספק תוכנות זדוניות מעקב מדגישים את המשמעות של אבטחת מכשירים ניידים. מומלץ למשתמשים לנקוט משנה זהירות בעת הורדת יישומים ממקורות לא רשמיים ולהשתמש בפתרונות אבטחה מכובדים כדי להגן מפני התקפות ממוקדות כאלה. בנוסף, שמירה על ערנות מפני ניסיונות הנדסה חברתית ועדכון שוטף של תוכנות יכולים לעזור להפחית את הסיכון ליפול קורבן ליישומים מאיימים כמו WyrmSpy ו-DragonEgg.

DragonEgg סיפון מידע רגיש ממכשירי אנדרואיד שנפגעו

DragonEgg מפגין רמה מדאיגה של פולשניות שכן הוא מבקש הרשאות נרחבות בעת ההתקנה. תוכנת זדונית מעקב זו מצוידת ביכולות מתקדמות של איסוף נתונים וסינון. בנוסף, DragonEgg ממנפת מטען משני בשם smallmload.jar, המעניק לתוכנה הזדונית פונקציונליות נוספת, המאפשרת לה לחלץ נתונים רגישים שונים מהמכשיר הנגוע. זה כולל קבצי אחסון במכשיר, תמונות, אנשי קשר, הודעות והקלטות שמע. היבט נוסף ראוי לציון של DragonEgg הוא התקשורת שלו עם שרת Command-and-Control (C2) כדי לאחזר מודול שלישוני לא ידוע שמתחזה לתוכנית פורנזית.

הגילוי של WyrmSpy ו-DragonEgg משמש תזכורת נוקבת לאיום ההסלמה הנשקף מתוכנות זדוניות אנדרואיד מתוחכמת. חבילות ריגול אלו מייצגות איום אדיר, המסוגל לאסוף בחשאי מגוון רחב של נתונים ממכשירים שנפגעו. ככל שהנוף של תוכנות זדוניות אנדרואיד מתקדמת ממשיך להתפתח, זה הופך יותר ויותר חיוני למשתמשים להישאר ערניים ולנקוט באמצעים יזומים כדי להגן על המכשירים והמידע האישי שלהם. שימוש בפתרונות אבטחה בעלי מוניטין, שמירה על זהירות בעת התקנת יישומים והישארות מעודכנת לגבי איומים מתעוררים הם צעדים חיוניים להפחתת הסיכון הנשקף מתוכנות זדוניות מעקב מתקדמת שכזו.