Zlonamerna programska oprema za mobilne naprave DragonEgg
Po mnenju varnostnih raziskovalcev kitajska vohunska skupina, ki jo sponzorira država, identificirana kot APT41, znana tudi pod drugimi vzdevki, kot so Barium, Earth Baku in Winnti, aktivno uporablja WyrmSpy in zlonamerno vohunsko programsko opremo DragonEgg za ciljanje na mobilne naprave Android. Medtem ko se je APT41 v preteklosti zanašal na napade spletnih aplikacij in ranljivosti programske opreme za ciljanje organizacij po vsem svetu, je pred kratkim spremenil svojo taktiko za razvoj zlonamerne programske opreme, ki je izrecno prilagojena operacijskemu sistemu Android.
V tem novem pristopu APT41 uporablja svojo obstoječo infrastrukturo ukazov in nadzora, naslove IP in domene za komunikacijo in nadzor dveh različic zlonamerne programske opreme, WyrmSpy in DragonEgg, posebej zasnovanih za naprave Android. Ta strateški premik prikazuje prilagodljivost in pripravljenost skupine za izkoriščanje mobilnih platform v svojih vohunskih kampanjah, kar predstavlja razvijajočo se pokrajino groženj za organizacije po vsem svetu.
APT41 širi svoj nevarni arzenal orodij
APT41 je verjetno uporabil taktike socialnega inženiringa za distribucijo groženj vohunske programske opreme WyrmSpy in DragonEgg napravam Android. To so dosegli tako, da so WyrmSpy prikrili kot privzeto sistemsko aplikacijo Android in DragonEgg kot tipkovnice in aplikacije za sporočanje Android tretjih oseb, vključno s priljubljenimi platformami, kot je Telegram. Zaenkrat še ni jasno, ali je do distribucije teh dveh vrst zlonamerne programske opreme prišlo prek uradne trgovine Google Play ali prek datotek .apk iz drugih virov.
Pomembna zanimivost je uporaba podobnih potrdil za podpisovanje Android s strani skupine za WyrmSpy in DragonEgg. Vendar pa samo zanašanje na to podobnost ne zadošča za natančno pripisovanje, saj je znano, da si kitajske skupine groženj delijo orodja in tehnike vdiranja, zaradi česar je identifikacija zahtevna. Prepričljiv dokaz, ki je pripeljal do njihovega pripisa, je bilo odkritje, da je infrastruktura zlonamerne programske opreme Command-and-Control (C2) vsebovala natančen IP-naslov in spletno domeno, ki ju je APT41 uporabljal v več kampanjah od maja 2014 do avgusta 2020. Ta ključna povezava je utrdila povezavo mobilne vohunske programske opreme z akterjem grožnje APT41.
Uporaba tehnik socialnega inženiringa in manipulacija aplikacij Android za zagotavljanje zlonamerne programske opreme za nadzor poudarja pomen varnosti mobilnih naprav. Uporabnikom svetujemo previdnost pri prenašanju aplikacij iz neuradnih virov in uporabo uglednih varnostnih rešitev za zaščito pred tovrstnimi ciljnimi napadi. Poleg tega lahko ostanete pozorni na poskuse socialnega inženiringa in redno posodabljate programsko opremo, da zmanjšate tveganje, da postanete žrtev nevarnih aplikacij, kot sta WyrmSpy in DragonEgg.
DragonEgg črpa občutljive informacije iz ogroženih naprav Android
DragonEgg kaže zaskrbljujočo stopnjo vsiljivosti, saj ob namestitvi zahteva obsežna dovoljenja. Ta zlonamerna programska oprema za nadzor je opremljena z naprednimi zmogljivostmi zbiranja podatkov in izločanja. Poleg tega DragonEgg izkorišča sekundarno koristno obremenitev, imenovano smallmload.jar, ki zlonamerni programski opremi omogoča dodatne funkcije in ji omogoča, da iz okužene naprave izloči različne občutljive podatke. To vključuje datoteke za shranjevanje naprave, fotografije, stike, sporočila in zvočne posnetke. Drug omembe vreden vidik DragonEgg je njegova komunikacija s strežnikom Command-and-Control (C2) za pridobitev neznanega terciarnega modula, ki se predstavlja kot forenzični program.
Odkritje WyrmSpy in DragonEgg služi kot oster opomin na naraščajočo grožnjo, ki jo predstavlja sofisticirana zlonamerna programska oprema Android. Ti paketi vohunske programske opreme predstavljajo mogočno grožnjo, saj lahko prikrito zberejo obsežen nabor podatkov iz ogroženih naprav. Ker se krajina napredne zlonamerne programske opreme za Android še naprej razvija, postaja za uporabnike vedno bolj pomembno, da ostanejo pozorni in sprejmejo proaktivne ukrepe za zaščito svojih naprav in osebnih podatkov. Uporaba uglednih varnostnih rešitev, previdnost pri nameščanju aplikacij in obveščanje o nastajajočih grožnjah so bistveni koraki pri zmanjševanju tveganja, ki ga predstavlja tako napredna zlonamerna programska oprema za nadzor.
