DragonEgg Mobile ļaunprātīga programmatūra

Saskaņā ar drošības pētnieku teikto, Ķīnas valsts sponsorēta spiegošanas grupa, kas identificēta kā APT41, kas pazīstama arī ar citiem pseidonīmiem, piemēram, Barium, Earth Baku un Winnti, ir aktīvi izmantojusi WyrmSpy un DragonEgg spiegprogrammatūru, lai mērķētu uz Android mobilajām ierīcēm. Lai gan APT41 vēsture ir paļāvusies uz tīmekļa lietojumprogrammu uzbrukumiem un programmatūras ievainojamību, lai vērstos pret organizācijām visā pasaulē, tā nesen ir mainījusi savu taktiku, lai izstrādātu ļaunprātīgu programmatūru, kas ir īpaši pielāgota Android operētājsistēmai.

Šajā jaunajā pieejā APT41 izmanto esošo komandu un vadības infrastruktūru, IP adreses un domēnus, lai sazinātos un kontrolētu divus ļaunprātīgas programmatūras variantus WyrmSpy un DragonEgg, kas īpaši izstrādāti Android ierīcēm. Šī stratēģiskā maiņa parāda grupas pielāgošanās spēju un vēlmi izmantot mobilās platformas savās spiegošanas kampaņās, parādot mainīgu draudu ainavu organizācijām visā pasaulē.

APT41 paplašina savu draudīgo instrumentu arsenālu

APT41, iespējams, izmantoja sociālās inženierijas taktiku, lai izplatītu WyrmSpy un DragonEgg spiegprogrammatūras draudus Android ierīcēm. Viņi to panāca, maskējot WyrmSpy kā noklusējuma Android sistēmas lietojumprogrammu un DragonEgg kā trešās puses Android tastatūras un ziņojumapmaiņas lietojumprogrammas, tostarp tādas populāras platformas kā Telegram. Pagaidām joprojām nav skaidrs, vai šo divu veidu ļaunprātīgas programmatūras izplatīšana notika, izmantojot oficiālo Google Play veikalu vai .apk failus no citiem avotiem.

Būtisks intereses punkts ir tas, ka grupa izmanto līdzīgus Android parakstīšanas sertifikātus gan WyrmSpy, gan DragonEgg. Tomēr precīzai attiecināšanai nepietiek tikai ar paļaušanos uz šo līdzību, jo ir zināms, ka Ķīnas draudu grupas izmanto uzlaušanas rīkus un paņēmienus, padarot identifikāciju sarežģītu. Pārliecinošs pierādījums to attiecināšanai bija atklājums, ka ļaunprātīgās programmatūras Command-and-Control (C2) infrastruktūrā bija precīza IP adrese un tīmekļa domēns, ko APT41 bija izmantojis vairākās kampaņās no 2014. gada maija līdz 2020. gada augustam. Šī būtiskā saikne nostiprināja mobilās spiegprogrammatūras saistību ar APT41 draudu izraisītāju.

Sociālās inženierijas metožu izmantošana un manipulācijas ar Android lietojumprogrammām, lai nodrošinātu novērošanas ļaunprātīgu programmatūru, uzsver mobilo ierīču drošības nozīmi. Lietotājiem tiek ieteikts ievērot piesardzību, lejupielādējot lietojumprogrammas no neoficiāliem avotiem, un izmantot cienījamus drošības risinājumus, lai aizsargātu pret šādiem mērķtiecīgiem uzbrukumiem. Turklāt modrība pret sociālās inženierijas mēģinājumiem un regulāra programmatūras atjaunināšana var palīdzēt mazināt risku kļūt par upuriem draudīgām lietojumprogrammām, piemēram, WyrmSpy un DragonEgg.

DragonEgg Siphons sensitīva informācija no apdraudētām Android ierīcēm

DragonEgg uzrāda satraucošu uzmācības līmeni, jo instalēšanas laikā tas pieprasa plašas atļaujas. Šī novērošanas ļaunprogrammatūra ir aprīkota ar uzlabotām datu vākšanas un izfiltrēšanas iespējām. Turklāt DragonEgg izmanto sekundāro slodzi, ko sauc par smallmload.jar, kas nodrošina ļaunprātīgai programmatūrai papildu funkcionalitāti, ļaujot tai izfiltrēt dažādus sensitīvus datus no inficētās ierīces. Tas ietver ierīces krātuves failus, fotoattēlus, kontaktpersonas, ziņas un audio ierakstus. Vēl viens ievērības cienīgs DragonEgg aspekts ir tā saziņa ar Command-and-Control (C2) serveri, lai izgūtu nezināmu terciāro moduli, kas tiek maskēts kā kriminālistikas programma.

WyrmSpy un DragonEgg atklāšana kalpo kā smags atgādinājums par pieaugošajiem draudiem, ko rada sarežģīta Android ļaunprātīga programmatūra. Šīs spiegprogrammatūras pakotnes ir milzīgs drauds, kas spēj slepeni savākt plašu datu klāstu no apdraudētām ierīcēm. Tā kā progresīvās Android ļaunprātīgās programmatūras ainava turpina attīstīties, lietotājiem kļūst arvien svarīgāk būt uzmanīgiem un veikt proaktīvus pasākumus, lai aizsargātu savas ierīces un personisko informāciju. Cienījamu drošības risinājumu izmantošana, piesardzība lietojumprogrammu instalēšanas laikā un informētība par jauniem draudiem ir būtiski pasākumi, lai mazinātu risku, ko rada šāda uzlabota novērošanas ļaunprātīga programmatūra.