WyrmSpy Mobile Malware

O prolífico ator de estado-nação apoiado pela China, APT41, foi recentemente associado à descoberta de duas cepas anteriormente não documentadas de spyware para Android, conhecidas como WyrmSpy e DragonEgg. O APT41 é conhecido por sua experiência na exploração de aplicativos voltados para a Web e na infiltração de dispositivos endpoint tradicionais.

Ao expandir seu arsenal de malware para incluir dispositivos móveis, o APT 41 demonstra claramente a importância dos endpoints móveis como alvos de alto valor que abrigam dados corporativos e pessoais cobiçados. Isso destaca a importância crescente de proteger dispositivos móveis contra ameaças sofisticadas apresentadas por agentes de ameaças estabelecidos, como o APT 41.

O WyrmSpy pode Ter sido Usado pelos Cibercriminosos por Anos

O grupo de crimes cibernéticos APT41, também reconhecido por vários nomes como Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, HOODOO, Wicked Panda e Winnti, opera desde pelo menos 2007, exibindo uma presença persistente no cenário cibernético. Esse sofisticado agente de ameaças tem como alvo vários setores com o objetivo de conduzir propriedade intelectual e informações confidenciais.

Nos últimos tempos, o APT41 foi responsável por lançar ataques empregando uma ferramenta de red teaming de código aberto chamada Google Command and Control (GC2). Esses ataques foram direcionados especificamente à mídia e plataformas de trabalho em Taiwan e na Itália, demonstrando as táticas e alvos em constante evolução do coletivo.

Quanto à campanha de vigilância móvel, o método exato de invasão inicial permanece desconhecido, mas há suspeitas do uso de técnicas de engenharia social. O WyrmSpy foi detectado pela primeira vez em 2017, indicando as atividades prolongadas e contínuas do grupo no reino móvel. Posteriormente, o DragonEgg foi identificado no início de 2021 e novas amostras desse malware foram observadas em abril de 2023, enfatizando a ameaça contínua representada pelo APT41.

Os Recursos Ameaçadores Encontrados no WyrmSpy

O WyrmSpy emprega táticas enganosas, disfarçando-se como um aplicativo de sistema padrão responsável por exibir as notificações do usuário. Em variações posteriores, o malware foi incorporado a aplicativos que se apresentam como conteúdo de vídeo adulto, Baidu Waimai e Adobe Flash. Notavelmente, não há evidências que sugiram que esses aplicativos nocivos tenham sido distribuídos pela Google Play Store oficial. O número exato de vítimas visadas pelo WyrmSpy permanece desconhecido.

A conexão entre WyrmSpy e APT41 torna-se aparente através da utilização de um servidor Command-and-Control (C2) com o endereço IP 121[.]42[.]149[.]52. Este endereço de IP corresponde ao domínio 'vpn2.umisen[.]com' que foi previamente associado à infraestrutura do grupo APT41.

Depois de instalado com sucesso, o WyrmSpy solicita permissões intrusivas, permitindo que a ameaça execute atividades sofisticadas de coleta e exfiltração de dados no dispositivo Android comprometido. O malware é capaz de coletar informações confidenciais do usuário, incluindo fotos, dados de localização, mensagens SMS e gravações de áudio.

O WyrmSpy também demonstrou sua adaptabilidade utilizando módulos que são baixados de um servidor C2. Essa abordagem permite que o malware aprimore seus recursos de coleta de dados enquanto evita a detecção.

Além disso, o WyrmSpy exibe funcionalidades avançadas, pois pode desabilitar o Security-Enhanced Linux (SELinux), um recurso de segurança do sistema operacional Android. Além disso, ele explora ferramentas de root como KingRoot11 para obter privilégios elevados em dispositivos móveis comprometidos.