DragonEgg Mobile Malware

Biztonsági kutatók szerint egy kínai államilag támogatott, APT41-ként azonosított kémcsoport, amelyet más álnevekkel is ismernek, mint például a Barium, az Earth Baku és a Winnti, aktívan alkalmazza a WyrmSpy-t és a DragonEgg spyware-malware-t az Android mobileszközök megcélzására. Míg az APT41 története során a webalkalmazások támadásaira és szoftveres sebezhetőségeire támaszkodik világszerte, hogy célszervezeteket célozzon meg, a közelmúltban megváltoztatta taktikáját, hogy kifejezetten az Android operációs rendszerre szabott rosszindulatú programokat fejlesszen ki.

Ebben az új megközelítésben az APT41 a meglévő Command-and-Control infrastruktúráját, IP-címeit és tartományait használja fel a két rosszindulatú programváltozattal, a WyrmSpy- vel és a DragonEgg-el való kommunikációhoz és vezérléshez, amelyeket kifejezetten Android-eszközökhöz terveztek. Ez a stratégiai váltás megmutatja a csoport alkalmazkodóképességét és hajlandóságát a mobil platformok kémkampányaiban való kihasználására, és egy fejlődő fenyegetést mutat be a szervezetek számára világszerte.

Az APT41 bővíti fenyegető eszköztárát

Az APT41 valószínűleg szociális tervezési taktikát alkalmazott a WyrmSpy és DragonEgg spyware fenyegetések Android-eszközökre való terjesztésére. Ezt úgy érték el, hogy a WyrmSpy-t alapértelmezett Android-rendszeralkalmazásnak, a DragonEgg-et pedig harmadik féltől származó Android-billentyűzeteknek és üzenetküldő alkalmazásoknak álcázták, beleértve az olyan népszerű platformokat, mint a Telegram. Egyelőre nem világos, hogy e két rosszindulatú program terjesztése a hivatalos Google Play Áruházban vagy más forrásból származó .apk fájlokon keresztül történt-e.

Fontos érdekesség, hogy a csoport hasonló Android aláíró tanúsítványokat használ mind a WyrmSpy, mind a DragonEgg számára. Azonban pusztán erre a hasonlóságra hagyatkozni nem elegendő a pontos hozzárendeléshez, mivel a kínai fenyegetőcsoportok köztudottan megosztják egymással a hackereszközöket és technikákat, ami kihívást jelent az azonosításban. A hozzárendelésükhöz vezető perdöntő bizonyíték az volt, hogy felfedezték, hogy a rosszindulatú program Command-and-Control (C2) infrastruktúrája pontosan azt az IP-címet és webdomaint tartalmazta, amelyet az APT41 használt több kampányban 2014 májusa és 2020 augusztusa között. Ez a kulcsfontosságú kapcsolat megszilárdította a mobil kémprogram és az APT41 fenyegetést okozó társítást.

A social engineering technikák alkalmazása és az Android-alkalmazások manipulálása a felügyeleti rosszindulatú programok továbbítására hangsúlyozza a mobileszközök biztonságának jelentőségét. A felhasználóknak óvatosan kell eljárniuk, amikor nem hivatalos forrásokból töltenek le alkalmazásokat, és jó hírű biztonsági megoldásokat alkalmazzanak az ilyen célzott támadások elleni védelem érdekében. Ezen túlmenően, ha éber marad a szociális manipulációs kísérletekkel és a rendszeres szoftverfrissítéssel, akkor csökkentheti annak kockázatát, hogy olyan fenyegető alkalmazások áldozatává váljanak, mint a WyrmSpy és a DragonEgg.

A DragonEgg szifonok érzékeny információkat kapnak a veszélyeztetett Android-eszközökről

A DragonEgg aggasztó mértékű behatolást mutat, mivel telepítéskor kiterjedt engedélyeket kér. Ez a felügyeleti rosszindulatú program fejlett adatgyűjtési és kiszűrési képességekkel van felszerelve. Ezenkívül a DragonEgg egy másodlagos hasznos adatot, a smallmload.jar-t is felhasznál, amely további funkciókat biztosít a rosszindulatú programnak, lehetővé téve a különféle érzékeny adatok kiszűrését a fertőzött eszközről. Ez magában foglalja az eszköztároló fájlokat, fényképeket, névjegyeket, üzeneteket és hangfelvételeket. A DragonEgg másik figyelemreméltó aspektusa a Command-and-Control (C2) kiszolgálóval való kommunikációja egy ismeretlen, kriminalisztikai programnak álcázott harmadlagos modul lekérése érdekében.

A WyrmSpy és a DragonEgg felfedezése megrendítő emlékeztetőül szolgál a kifinomult Android rosszindulatú programok által jelentett növekvő fenyegetésre. Ezek a kémprogram-csomagok hatalmas fenyegetést jelentenek, és képesek lopakodni az adatok széles skálájának összegyűjtésére a feltört eszközökről. Ahogy a fejlett Android rosszindulatú szoftverek köre folyamatosan fejlődik, egyre fontosabbá válik, hogy a felhasználók éberek maradjanak, és proaktív intézkedéseket tegyenek eszközeik és személyes adataik védelme érdekében. A jó hírű biztonsági megoldások alkalmazása, az alkalmazások telepítése során tanúsított óvatosság és az újonnan megjelenő fenyegetésekkel kapcsolatos tájékozottság elengedhetetlen lépések az ilyen fejlett felügyeleti rosszindulatú programok által jelentett kockázatok mérséklésében.