DragonEgg mobilni zlonamjerni softver

Prema sigurnosnim istraživačima, kineska državna špijunska skupina identificirana kao APT41, također poznata pod drugim aliasima kao što su Barium, Earth Baku i Winnti, aktivno koristi WyrmSpy i zlonamjerni softver DragonEgg za ciljanje Android mobilnih uređaja. Dok se APT41 kroz povijest oslanjao na napade web aplikacija i softverske ranjivosti za ciljanje organizacija širom svijeta, nedavno je promijenio svoju taktiku za razvoj zlonamjernog softvera izričito skrojenog za operativni sustav Android.

U ovom novom pristupu, APT41 koristi svoju postojeću infrastrukturu za upravljanje i kontrolu, IP adrese i domene za komunikaciju i kontrolu dviju varijanti zlonamjernog softvera, WyrmSpy i DragonEgg, posebno dizajniranih za Android uređaje. Ova strateška promjena pokazuje prilagodljivost grupe i spremnost da iskoristi mobilne platforme u svojim špijunskim kampanjama, predstavljajući evoluirajući krajolik prijetnji za organizacije na globalnoj razini.

APT41 proširuje svoj prijeteći arsenal alata

APT41 je vjerojatno primijenio taktiku društvenog inženjeringa za distribuciju prijetnji špijunskog softvera WyrmSpy i DragonEgg Android uređajima. To su postigli prerušavanjem WyrmSpy-a kao zadane Android sistemske aplikacije i DragonEgg-a kao Android tipkovnice i aplikacije za razmjenu poruka trećih strana, uključujući popularne platforme poput Telegrama. Za sada ostaje nejasno je li do distribucije ove dvije vrste zlonamjernog softvera došlo putem službene trgovine Google Play ili putem .apk datoteka iz drugih izvora.

Značajna zanimljivost je korištenje sličnih Android certifikata za potpisivanje od strane grupe za WyrmSpy i DragonEgg. Međutim, samo oslanjanje na tu sličnost nije dovoljno za preciznu atribuciju, budući da je poznato da kineske skupine prijetnji dijele alate i tehnike hakiranja, što čini identifikaciju izazovnom. Konačan dokaz koji je doveo do njihovog pripisivanja bilo je otkriće da je infrastruktura za upravljanje i kontrolu (C2) zlonamjernog softvera sadržavala točnu IP adresu i web domenu koju je APT41 koristio u više kampanja u rasponu od svibnja 2014. do kolovoza 2020. Ova ključna poveznica učvrstila je povezanost mobilnog špijunskog softvera s akterom prijetnje APT41.

Korištenje tehnika društvenog inženjeringa i manipulacija Android aplikacijama za isporuku zlonamjernog softvera za nadzor naglašava važnost sigurnosti mobilnih uređaja. Korisnicima se savjetuje da budu oprezni prilikom preuzimanja aplikacija iz neslužbenih izvora i koriste renomirana sigurnosna rješenja za zaštitu od takvih ciljanih napada. Osim toga, budnost protiv pokušaja društvenog inženjeringa i redovito ažuriranje softvera mogu pomoći u smanjenju rizika od toga da postanete žrtva prijetećih aplikacija kao što su WyrmSpy i DragonEgg.

DragonEgg izvlači osjetljive informacije s kompromitiranih Android uređaja

DragonEgg pokazuje zabrinjavajuću razinu nametljivosti jer zahtijeva široka dopuštenja nakon instalacije. Ovaj zlonamjerni softver za nadzor opremljen je naprednim mogućnostima prikupljanja podataka i eksfiltracije. Osim toga, DragonEgg koristi sekundarno opterećenje pod nazivom smallmload.jar, koje zlonamjernom softveru daje daljnje funkcionalnosti, omogućujući mu da eksfiltrira razne osjetljive podatke sa zaraženog uređaja. To uključuje datoteke za pohranu uređaja, fotografije, kontakte, poruke i audio snimke. Drugi značajan aspekt DragonEgg-a je njegova komunikacija s Command-and-Control (C2) poslužiteljem za dohvaćanje nepoznatog tercijarnog modula koji se maskira kao forenzički program.

Otkriće WyrmSpy i DragonEgg služi kao dirljiv podsjetnik na rastuću prijetnju koju predstavlja sofisticirani zlonamjerni softver za Android. Ovi špijunski paketi predstavljaju ogromnu prijetnju, sposobni su tajno prikupiti širok raspon podataka s kompromitiranih uređaja. Kako se okruženje naprednog zlonamjernog softvera za Android nastavlja razvijati, za korisnike postaje sve važnije da ostanu oprezni i poduzmu proaktivne mjere kako bi zaštitili svoje uređaje i osobne podatke. Korištenje renomiranih sigurnosnih rješenja, oprez pri instaliranju aplikacija i informiranje o novim prijetnjama ključni su koraci u ublažavanju rizika koji predstavlja takav napredni zlonamjerni softver za nadzor.