DragonEgg Mobile Malware

Podľa bezpečnostných výskumníkov čínska štátom podporovaná špionážna skupina identifikovaná ako APT41, známa aj pod inými prezývkami ako Barium, Earth Baku a Winnti, aktívne využívala WyrmSpy a malvérový spyware DragonEgg na zacielenie na mobilné zariadenia s Androidom. Zatiaľ čo APT41 sa v minulosti spoliehal na útoky webových aplikácií a softvérové zraniteľnosti pri zacielení na organizácie na celom svete, nedávno zmenil svoju taktiku na vývoj malvéru šitého na mieru priamo pre operačný systém Android.

V tomto novom prístupe APT41 využíva svoju existujúcu infraštruktúru Command-and-Control, IP adresy a domény na komunikáciu a kontrolu dvoch variantov malvéru, WyrmSpy a DragonEgg, špeciálne navrhnutých pre zariadenia so systémom Android. Tento strategický posun dokazuje prispôsobivosť a ochotu skupiny využívať mobilné platformy vo svojich špionážnych kampaniach, čím predstavuje vyvíjajúce sa prostredie hrozieb pre organizácie na celom svete.

APT41 rozširuje svoj hrozivý arzenál nástrojov

APT41 pravdepodobne použil taktiku sociálneho inžinierstva na distribúciu spywarových hrozieb WyrmSpy a DragonEgg do zariadení so systémom Android. Dosiahli to maskovaním WyrmSpy ako predvolenej systémovej aplikácie pre Android a DragonEgg ako klávesníc a aplikácií na odosielanie správ Android tretích strán, vrátane populárnych platforiem ako Telegram. Zatiaľ nie je jasné, či k distribúcii týchto dvoch typov malvéru došlo prostredníctvom oficiálneho obchodu Google Play alebo prostredníctvom súborov .apk z iných zdrojov.

Významným bodom záujmu je, že skupina používa podobné podpisové certifikáty Android pre WyrmSpy aj DragonEgg. Samotné spoliehanie sa na túto podobnosť však na presné priradenie nestačí, keďže je známe, že čínske skupiny hrozieb zdieľajú hackerské nástroje a techniky, čo sťažuje identifikáciu. Nezvratným dôkazom, ktorý viedol k ich pripísaniu, bolo zistenie, že infraštruktúra príkazov a ovládania (C2) malvéru obsahovala presnú IP adresu a webovú doménu, ktorú APT41 používal vo viacerých kampaniach od mája 2014 do augusta 2020. Toto kľúčové prepojenie upevnilo spojenie mobilného spywaru s aktérom hrozby APT41.

Použitie techník sociálneho inžinierstva a manipulácia s aplikáciami pre Android na poskytovanie monitorovacieho malvéru podčiarkuje význam zabezpečenia mobilných zariadení. Používateľom sa odporúča, aby boli opatrní pri sťahovaní aplikácií z neoficiálnych zdrojov a používali renomované bezpečnostné riešenia na ochranu pred takýmito cielenými útokmi. Navyše ostražitosť voči pokusom o sociálne inžinierstvo a pravidelná aktualizácia softvéru môže pomôcť znížiť riziko, že sa stanete obeťou hrozivých aplikácií, ako sú WyrmSpy a DragonEgg.

DragonEgg sifónuje citlivé informácie z kompromitovaných zariadení so systémom Android

DragonEgg vykazuje znepokojujúcu úroveň rušivosti, pretože pri inštalácii vyžaduje rozsiahle povolenia. Tento sledovací malvér je vybavený pokročilými možnosťami zberu údajov a ich exfiltrácie. DragonEgg navyše využíva sekundárne užitočné zaťaženie s názvom smallmload.jar, ktoré poskytuje malvéru ďalšie funkcie a umožňuje mu exfiltrovať rôzne citlivé údaje z infikovaného zariadenia. To zahŕňa ukladacie súbory zariadenia, fotografie, kontakty, správy a zvukové nahrávky. Ďalším pozoruhodným aspektom DragonEgg je jeho komunikácia so serverom Command-and-Control (C2) na získanie neznámeho terciárneho modulu, ktorý sa maskuje ako forenzný program.

Objav WyrmSpy a DragonEgg slúži ako dojímavá pripomienka stupňujúcej sa hrozby, ktorú predstavuje sofistikovaný malvér Android. Tieto balíky spywaru predstavujú hrozivú hrozbu, ktorá je schopná tajne zhromažďovať širokú škálu údajov z napadnutých zariadení. Keďže prostredie pokročilého malvéru pre Android sa neustále vyvíja, je pre používateľov čoraz dôležitejšie zostať v strehu a prijímať proaktívne opatrenia na ochranu svojich zariadení a osobných údajov. Používanie renomovaných bezpečnostných riešení, opatrnosť pri inštalácii aplikácií a informovanie o nových hrozbách sú základnými krokmi na zmiernenie rizika, ktoré predstavuje takýto pokročilý sledovací malvér.