Perisian Hasad Mudah Alih DragonEgg
Menurut penyelidik keselamatan, kumpulan pengintipan tajaan negara China yang dikenal pasti sebagai APT41, juga dikenali dengan alias lain seperti Barium, Earth Baku dan Winnti, telah secara aktif menggunakan perisian hasad WyrmSpy dan perisian pengintip DragonEgg untuk menyasarkan peranti mudah alih Android. Walaupun APT41 mempunyai sejarah bergantung pada serangan aplikasi Web dan kelemahan perisian untuk menyasarkan organisasi di seluruh dunia, baru-baru ini APT41 telah mengubah taktiknya untuk membangunkan perisian hasad yang disesuaikan secara eksplisit untuk sistem pengendalian Android.
Dalam pendekatan baharu ini, APT41 menggunakan infrastruktur Command-and-Control, alamat IP dan domain sedia ada untuk berkomunikasi dan mengawal dua varian perisian hasad, WyrmSpy dan DragonEgg, yang direka khusus untuk peranti Android. Anjakan strategik ini mempamerkan kebolehsuaian kumpulan dan kesediaan untuk mengeksploitasi platform mudah alih dalam kempen pengintipannya, mempersembahkan landskap ancaman yang berkembang untuk organisasi di seluruh dunia.
APT41 Memperluaskan Arsenal of Toolsnya yang Mengancam
APT41 berkemungkinan menggunakan taktik kejuruteraan sosial untuk mengedarkan ancaman perisian pengintip WyrmSpy dan DragonEgg kepada peranti Android. Mereka mencapainya dengan menyamar WyrmSpy sebagai aplikasi sistem Android lalai dan DragonEgg sebagai papan kekunci Android pihak ketiga dan aplikasi pemesejan, termasuk platform popular seperti Telegram. Sehingga kini, masih tidak jelas sama ada pengedaran kedua-dua jenis perisian hasad ini berlaku melalui Gedung Google Play rasmi atau melalui fail .apk daripada sumber lain.
Satu perkara penting ialah penggunaan sijil penandatanganan Android yang serupa oleh kumpulan untuk kedua-dua WyrmSpy dan DragonEgg. Walau bagaimanapun, hanya bergantung pada persamaan ini tidak mencukupi untuk atribusi yang tepat, kerana kumpulan ancaman China diketahui berkongsi alatan dan teknik penggodaman, menjadikan pengecaman mencabar. Bukti muktamad yang membawa kepada atribusi mereka ialah penemuan bahawa infrastruktur Command-and-Control (C2) perisian hasad memaparkan alamat IP dan domain Web yang tepat yang APT41 telah gunakan dalam berbilang kempen bermula dari Mei 2014 hingga Ogos 2020. Pautan penting ini mengukuhkan perkaitan perisian pengintip mudah alih dengan aktor ancaman APT41.
Penggunaan teknik kejuruteraan sosial dan manipulasi aplikasi Android untuk menyampaikan perisian hasad pengawasan menggariskan kepentingan keselamatan peranti mudah alih. Pengguna dinasihatkan supaya berhati-hati semasa memuat turun aplikasi daripada sumber tidak rasmi dan menggunakan penyelesaian keselamatan yang bereputasi untuk melindungi daripada serangan yang disasarkan sedemikian. Selain itu, sentiasa berwaspada terhadap percubaan kejuruteraan sosial dan mengemas kini perisian secara kerap boleh membantu mengurangkan risiko menjadi mangsa kepada aplikasi yang mengancam seperti WyrmSpy dan DragonEgg.
DragonEgg Siphons Maklumat Sensitif daripada Peranti Android Yang Dikompromi
DragonEgg mempamerkan tahap gangguan yang membimbangkan kerana ia meminta kebenaran yang meluas semasa pemasangan. Perisian hasad pengawasan ini dilengkapi dengan keupayaan pengumpulan data dan exfiltrasi lanjutan. Selain itu, DragonEgg memanfaatkan muatan sekunder yang dipanggil smallmload.jar, yang memberikan perisian hasad kefungsian lanjut, membolehkannya mengeluarkan pelbagai data sensitif daripada peranti yang dijangkiti. Ini termasuk fail storan peranti, foto, kenalan, mesej dan rakaman audio. Satu lagi aspek DragonEgg yang perlu diberi perhatian ialah komunikasinya dengan pelayan Command-and-Control (C2) untuk mendapatkan semula modul tertiari yang tidak diketahui yang menyamar sebagai program forensik.
Penemuan WyrmSpy dan DragonEgg berfungsi sebagai peringatan pedih tentang ancaman yang semakin meningkat yang ditimbulkan oleh perisian hasad Android yang canggih. Pakej perisian pengintip ini mewakili ancaman yang menggerunkan, yang mampu mengumpulkan pelbagai data secara senyap-senyap daripada peranti yang terjejas. Memandangkan landskap perisian hasad Android termaju terus berkembang, ia menjadi semakin penting bagi pengguna untuk terus berwaspada dan mengambil langkah proaktif untuk melindungi peranti dan maklumat peribadi mereka. Menggunakan penyelesaian keselamatan yang bereputasi, berhati-hati semasa memasang aplikasi, dan sentiasa dimaklumkan tentang ancaman yang muncul adalah langkah penting dalam mengurangkan risiko yang ditimbulkan oleh perisian hasad pengawasan lanjutan tersebut.
