Mobilne złośliwe oprogramowanie DragonEgg

Według badaczy bezpieczeństwa, sponsorowana przez państwo chińska grupa szpiegowska zidentyfikowana jako APT41, znana również pod innymi aliasami, takimi jak Barium, Earth Baku i Winnti, aktywnie wykorzystuje złośliwe oprogramowanie WyrmSpy i DragonEgg do atakowania urządzeń mobilnych z systemem Android. Chociaż APT41 od dawna polega na atakach aplikacji internetowych i lukach w zabezpieczeniach oprogramowania w celu atakowania organizacji na całym świecie, ostatnio zmienił swoją taktykę, aby tworzyć złośliwe oprogramowanie specjalnie dostosowane do systemu operacyjnego Android.

W tym nowym podejściu APT41 wykorzystuje swoją istniejącą infrastrukturę Command-and-Control, adresy IP i domeny do komunikowania się i kontrolowania dwóch wariantów złośliwego oprogramowania, WyrmSpy i DragonEgg, zaprojektowanych specjalnie dla urządzeń z systemem Android. Ta strategiczna zmiana pokazuje zdolność grupy do adaptacji i gotowość do wykorzystywania platform mobilnych w kampaniach szpiegowskich, prezentując ewoluujący krajobraz zagrożeń dla organizacji na całym świecie.

APT41 rozszerza swój zagrażający arsenał narzędzi

APT41 prawdopodobnie wykorzystał taktykę inżynierii społecznej do dystrybucji zagrożeń spyware WyrmSpy i DragonEgg na urządzenia z Androidem. Osiągnęli to, ukrywając WyrmSpy jako domyślną aplikację systemu Android, a DragonEgg jako zewnętrzne klawiatury i aplikacje do przesyłania wiadomości na Androida, w tym popularne platformy, takie jak Telegram. Na razie nie jest jasne, czy dystrybucja tych dwóch rodzajów złośliwego oprogramowania miała miejsce za pośrednictwem oficjalnego Sklepu Google Play, czy za pośrednictwem plików .apk z innych źródeł.

Istotnym punktem zainteresowania jest wykorzystanie przez grupę podobnych certyfikatów podpisywania Androida zarówno dla WyrmSpy, jak i DragonEgg. Jednak samo poleganie na tym podobieństwie nie wystarczy do dokładnego przypisania, ponieważ wiadomo, że chińskie grupy zajmujące się cyberprzestępczością dzielą się narzędziami i technikami hakerskimi, co utrudnia identyfikację. Ostatecznym dowodem, który doprowadził do ich przypisania, było odkrycie, że infrastruktura Command-and-Control (C2) szkodliwego oprogramowania zawierała dokładny adres IP i domenę internetową, z których APT41 korzystał w wielu kampaniach trwających od maja 2014 r. do sierpnia 2020 r. To kluczowe powiązanie umocniło powiązanie mobilnego oprogramowania szpiegującego z ugrupowaniem cyberprzestępczym APT41.

Wykorzystanie technik socjotechnicznych i manipulacja aplikacjami Androida w celu dostarczania szkodliwego oprogramowania monitorującego podkreśla znaczenie bezpieczeństwa urządzeń mobilnych. Użytkownikom zaleca się zachowanie ostrożności podczas pobierania aplikacji z nieoficjalnych źródeł i stosowanie renomowanych rozwiązań bezpieczeństwa w celu ochrony przed takimi ukierunkowanymi atakami. Ponadto zachowanie czujności wobec prób socjotechniki i regularne aktualizowanie oprogramowania może pomóc zmniejszyć ryzyko stania się ofiarą niebezpiecznych aplikacji, takich jak WyrmSpy i DragonEgg.

DragonEgg wysysa poufne informacje ze zhakowanych urządzeń z systemem Android

DragonEgg wykazuje niepokojący poziom ingerencji, ponieważ wymaga szerokich uprawnień podczas instalacji. To złośliwe oprogramowanie monitorujące jest wyposażone w zaawansowane możliwości gromadzenia i eksfiltracji danych. Ponadto DragonEgg wykorzystuje dodatkowy ładunek o nazwie smallmload.jar, który zapewnia złośliwemu oprogramowaniu dodatkowe funkcje, umożliwiając mu eksfiltrację różnych wrażliwych danych z zainfekowanego urządzenia. Obejmuje to pliki pamięci urządzenia, zdjęcia, kontakty, wiadomości i nagrania dźwiękowe. Innym godnym uwagi aspektem DragonEgg jest jego komunikacja z serwerem Command-and-Control (C2) w celu odzyskania nieznanego trzeciego modułu, który udaje program kryminalistyczny.

Odkrycie WyrmSpy i DragonEgg stanowi przejmujące przypomnienie o rosnącym zagrożeniu ze strony wyrafinowanego złośliwego oprogramowania dla Androida. Te pakiety oprogramowania szpiegującego stanowią ogromne zagrożenie, zdolne do potajemnego gromadzenia szerokiego zakresu danych z zaatakowanych urządzeń. Wraz z rozwojem zaawansowanego złośliwego oprogramowania dla Androida, coraz ważniejsze staje się zachowanie czujności przez użytkowników i podejmowanie proaktywnych działań w celu ochrony ich urządzeń i danych osobowych. Stosowanie renomowanych rozwiązań zabezpieczających, zachowanie ostrożności podczas instalowania aplikacji i bycie na bieżąco z pojawiającymi się zagrożeniami to podstawowe kroki w ograniczaniu ryzyka stwarzanego przez takie zaawansowane złośliwe oprogramowanie monitorujące.