Мобильное вредоносное ПО DragonEgg

По словам исследователей безопасности, спонсируемая государством китайская шпионская группа, известная как APT41, также известная под другими псевдонимами, такими как Barium, Earth Baku и Winnti, активно использует WyrmSpy и шпионское вредоносное ПО DragonEgg для атак на мобильные устройства Android. Хотя APT41 уже давно использует атаки веб-приложений и уязвимости программного обеспечения для целевых организаций по всему миру, недавно она изменила свою тактику, разработав вредоносное ПО, специально предназначенное для операционной системы Android.

В этом новом подходе APT41 использует свою существующую инфраструктуру управления и контроля, IP-адреса и домены для связи и управления двумя вариантами вредоносных программ, WyrmSpy и DragonEgg, специально разработанными для устройств Android. Этот стратегический сдвиг демонстрирует способность группы к адаптации и готовность использовать мобильные платформы в своих шпионских кампаниях, представляя изменяющийся ландшафт угроз для организаций по всему миру.

APT41 расширяет свой угрожающий арсенал инструментов

APT41, вероятно, использовал тактику социальной инженерии для распространения шпионских угроз WyrmSpy и DragonEgg на устройства Android. Они добились этого, замаскировав WyrmSpy под системное приложение Android по умолчанию, а DragonEgg — под сторонние клавиатуры Android и приложения для обмена сообщениями, включая такие популярные платформы, как Telegram. На данный момент остается неясным, происходило ли распространение этих двух типов вредоносных программ через официальный магазин Google Play или через файлы .apk из других источников.

Существенным интересным моментом является использование группой одинаковых сертификатов подписи Android как для WyrmSpy, так и для DragonEgg. Однако полагаться только на это сходство недостаточно для точной атрибуции, поскольку известно, что китайские группы угроз используют общие инструменты и методы взлома, что затрудняет идентификацию. Убедительным доказательством, которое привело к их атрибуции, стало обнаружение того, что инфраструктура управления и контроля вредоносного ПО (C2) содержала точный IP-адрес и веб-домен, которые APT41 использовала в нескольких кампаниях, охватывающих период с мая 2014 года по август 2020 года. Эта важная связь укрепила связь мобильного шпионского ПО с злоумышленником APT41.

Использование методов социальной инженерии и манипулирование приложениями Android для доставки вредоносного ПО для наблюдения подчеркивает важность безопасности мобильных устройств. Пользователям рекомендуется проявлять осторожность при загрузке приложений из неофициальных источников и использовать надежные решения безопасности для защиты от таких целенаправленных атак. Кроме того, сохранение бдительности в отношении попыток социальной инженерии и регулярное обновление программного обеспечения могут помочь снизить риск стать жертвой таких вредоносных приложений, как WyrmSpy и DragonEgg.

DragonEgg перекачивает конфиденциальную информацию со взломанных устройств Android

DragonEgg демонстрирует тревожный уровень навязчивости, поскольку при установке запрашивает обширные разрешения. Это вредоносное ПО для слежки оснащено расширенными возможностями сбора и эксфильтрации данных. Кроме того, DragonEgg использует вторичную полезную нагрузку, называемую smallmload.jar, которая предоставляет вредоносному ПО дополнительные функции, позволяя ему извлекать различные конфиденциальные данные с зараженного устройства. Сюда входят файлы хранения устройства, фотографии, контакты, сообщения и аудиозаписи. Еще одним заслуживающим внимания аспектом DragonEgg является его связь с сервером управления и контроля (C2) для извлечения неизвестного третичного модуля, который маскируется под криминалистическую программу.

Обнаружение WyrmSpy и DragonEgg служит острым напоминанием об эскалации угрозы, исходящей от изощренных вредоносных программ для Android. Эти шпионские пакеты представляют собой огромную угрозу, способную скрытно собирать широкий спектр данных с скомпрометированных устройств. По мере того, как ландшафт передовых вредоносных программ для Android продолжает развиваться, пользователям становится все более важно сохранять бдительность и принимать упреждающие меры для защиты своих устройств и личной информации. Использование зарекомендовавших себя решений в области безопасности, осторожность при установке приложений и информирование о возникающих угрозах являются важными шагами в снижении риска, создаваемого таким передовым вредоносным ПО для наблюдения.