DragonEgg Mobile kenkėjiška programa

Saugumo tyrėjų teigimu, Kinijos valstybės remiama šnipinėjimo grupė, identifikuota kaip APT41, taip pat žinoma kitais slapyvardžiais, tokiais kaip Barium, Earth Baku ir Winnti, aktyviai naudoja WyrmSpy ir DragonEgg šnipinėjimo programas, skirtas Android mobiliesiems įrenginiams. Nors APT41 anksčiau naudojo žiniatinklio programų atakas ir programinės įrangos pažeidžiamumą, siekdama nukreipti organizacijas visame pasaulyje, ji neseniai pakeitė savo taktiką, kad sukurtų kenkėjiškas programas, specialiai pritaikytas „Android“ operacinei sistemai.

Taikant šį naują metodą, APT41 naudoja esamą komandų ir valdymo infrastruktūrą, IP adresus ir domenus, kad galėtų bendrauti ir valdyti du kenkėjiškų programų variantus – WyrmSpy ir DragonEgg, specialiai sukurtus „Android“ įrenginiams. Šis strateginis poslinkis demonstruoja grupės prisitaikymą ir norą išnaudoti mobiliąsias platformas šnipinėjimo kampanijose, pateikdamas besikeičiančią grėsmę organizacijoms visame pasaulyje.

APT41 plečia savo grėsmingą įrankių arsenalą

APT41 greičiausiai naudojo socialinės inžinerijos taktiką, kad platintų WyrmSpy ir DragonEgg šnipinėjimo programų grėsmes Android įrenginiams. Jie tai padarė užmaskuodami „WyrmSpy“ kaip numatytąją „Android“ sistemos programą, o „DragonEgg“ – kaip trečiųjų šalių „Android“ klaviatūras ir pranešimų siuntimo programas, įskaitant tokias populiarias platformas kaip „Telegram“. Kol kas lieka neaišku, ar šių dviejų tipų kenkėjiškos programos buvo platinamos per oficialią „Google Play“ parduotuvę, ar per .apk failus iš kitų šaltinių.

Svarbus susidomėjimas yra tai, kad grupė naudoja panašius „Android“ pasirašymo sertifikatus tiek WyrmSpy, tiek DragonEgg. Tačiau vien pasikliauti šiuo panašumu tiksliam priskyrimui nepakanka, nes žinoma, kad Kinijos grėsmių grupės dalijasi įsilaužimo įrankiais ir metodais, todėl atpažinti tampa sudėtinga. Įtikinami įrodymai, dėl kurių jie buvo priskirti, buvo atradimas, kad kenkėjiškos programos komandų ir valdymo (C2) infrastruktūroje buvo nurodytas tikslus IP adresas ir žiniatinklio domenas, kurį APT41 naudojo keliose kampanijose, trukusiose nuo 2014 m. gegužės mėn. iki 2020 m. rugpjūčio mėn. Šis esminis ryšys sustiprino mobiliosios šnipinėjimo programos ryšį su APT41 grėsmės veiksniu.

Socialinės inžinerijos metodų naudojimas ir manipuliavimas „Android“ programomis, siekiant pateikti stebėjimo kenkėjiškas programas, pabrėžia mobiliųjų įrenginių saugumo svarbą. Vartotojams patariama būti atsargiems atsisiunčiant programas iš neoficialių šaltinių ir naudoti patikimus saugos sprendimus, kad apsisaugotų nuo tokių tikslinių atakų. Be to, likdami budrūs prieš socialinės inžinerijos bandymus ir reguliariai atnaujindami programinę įrangą, galite sumažinti pavojų tapti grėsmingų programų, tokių kaip WyrmSpy ir DragonEgg, aukomis.

DragonEgg Siphons jautrią informaciją iš pažeistų Android įrenginių

„DragonEgg“ demonstruoja nerimą keliantį įsibrovimo lygį, nes diegimo metu reikalauja daug leidimų. Ši stebėjimo kenkėjiška programa aprūpinta pažangiomis duomenų rinkimo ir išfiltravimo galimybėmis. Be to, DragonEgg naudoja antrinę naudingąją apkrovą, vadinamą smallmload.jar, kuri suteikia kenkėjiškajai programai papildomų funkcijų, leidžiančių jai iš užkrėsto įrenginio išfiltruoti įvairius jautrius duomenis. Tai apima įrenginio saugojimo failus, nuotraukas, kontaktus, pranešimus ir garso įrašus. Kitas dėmesio vertas DragonEgg aspektas yra jo bendravimas su komandų ir valdymo (C2) serveriu, kad būtų galima gauti nežinomą tretinį modulį, kuris yra kriminalistikos programa.

„WyrmSpy“ ir „DragonEgg“ atradimas yra aštrus priminimas apie didėjančią grėsmę, kurią kelia sudėtinga „Android“ kenkėjiška programa. Šie šnipinėjimo programų paketai kelia didžiulę grėsmę, galinčią slapta surinkti daugybę duomenų iš pažeistų įrenginių. Kadangi pažangių „Android“ kenkėjiškų programų aplinka ir toliau vystosi, naudotojams tampa vis svarbiau būti budriems ir imtis aktyvių priemonių, kad apsaugotų savo įrenginius ir asmeninę informaciją. Geros reputacijos saugos sprendimų naudojimas, atsargumas diegiant programas ir nuolatinis informavimas apie kylančias grėsmes yra esminiai žingsniai siekiant sumažinti tokių pažangių stebėjimo kenkėjiškų programų keliamą riziką.