Malware Mobile DragonEgg

Sipas studiuesve të sigurisë, një grup spiunazhi i sponsorizuar nga shteti kinez i identifikuar si APT41, i njohur gjithashtu nga pseudonime të tjera si Barium, Earth Baku dhe Winnti, ka përdorur në mënyrë aktive malware WyrmSpy dhe DragonEgg spyware për të synuar pajisjet celulare Android. Ndërsa APT41 ka një histori të mbështetjes në sulmet e aplikacioneve në ueb dhe dobësitë e softuerit për të synuar organizatat në mbarë botën, së fundmi ajo ka ndryshuar taktikat e saj për të zhvilluar malware të përshtatur në mënyrë eksplicite për sistemin operativ Android.

Në këtë qasje të re, APT41 përdor infrastrukturën e tij ekzistuese Command-and-Control, adresat IP dhe domenet për të komunikuar dhe kontrolluar dy variantet e malware, WyrmSpy dhe DragonEgg, të krijuara posaçërisht për pajisjet Android. Ky ndryshim strategjik tregon përshtatshmërinë dhe gatishmërinë e grupit për të shfrytëzuar platformat celulare në fushatat e tij të spiunazhit, duke paraqitur një peizazh kërcënimi në zhvillim për organizatat globalisht.

APT41 po zgjeron arsenalin e tij kërcënues të mjeteve

APT41 ka të ngjarë të përdorë taktika të inxhinierisë sociale për të shpërndarë kërcënimet e spyware-ve WyrmSpy dhe DragonEgg në pajisjet Android. Ata e arritën këtë duke maskuar WyrmSpy si një aplikacion të parazgjedhur të sistemit Android dhe DragonEgg si tastierë Android të palëve të treta dhe aplikacione mesazhesh, duke përfshirë platforma të njohura si Telegram. Deri më tani, mbetet e paqartë nëse shpërndarja e këtyre dy llojeve të malware ka ndodhur përmes dyqanit zyrtar të Google Play ose përmes skedarëve .apk nga burime të tjera.

Një pikë e rëndësishme me interes është përdorimi nga grupi i certifikatave të ngjashme të nënshkrimit Android si për WyrmSpy ashtu edhe për DragonEgg. Megjithatë, mbështetja vetëm në këtë ngjashmëri nuk është e mjaftueshme për atribuimin e saktë, pasi grupet kineze të kërcënimit dihet se ndajnë mjetet dhe teknikat e hakerimit, duke e bërë identifikimin sfidues. Dëshmia përfundimtare që çoi në atribuimin e tyre ishte zbulimi se infrastruktura Command-and-Control (C2) e malware përmbante adresën e saktë IP dhe domenin e uebit që APT41 kishte përdorur në fushata të shumta që shtriheshin nga maji 2014 deri në gusht 2020. Kjo lidhje thelbësore forcoi lidhjen e kërcënimit të spiunazhit celular me APT41.

Përdorimi i teknikave të inxhinierisë sociale dhe manipulimi i aplikacioneve Android për të ofruar malware të mbikqyrjes nënvizon rëndësinë e sigurisë së pajisjes celulare. Përdoruesit këshillohen të tregojnë kujdes gjatë shkarkimit të aplikacioneve nga burime jozyrtare dhe të përdorin zgjidhje sigurie me reputacion për t'u mbrojtur nga sulme të tilla të synuara. Për më tepër, qëndrimi vigjilent ndaj përpjekjeve të inxhinierisë sociale dhe përditësimi i rregullt i softuerit mund të ndihmojë në zbutjen e rrezikut për të rënë viktimë e aplikacioneve kërcënuese si WyrmSpy dhe DragonEgg.

DragonEgg Siphons Informacione të ndjeshme nga pajisjet e komprometuara Android

DragonEgg shfaq një nivel shqetësues ndërhyrës pasi kërkon leje të gjera pas instalimit. Ky malware i mbikqyrjes është i pajisur me aftësi të avancuara të mbledhjes dhe eksfiltrimit të të dhënave. Për më tepër, DragonEgg përdor një ngarkesë dytësore të quajtur smallmload.jar, e cila i jep malware funksionalitete të mëtejshme, duke i mundësuar atij të nxjerrë të dhëna të ndryshme të ndjeshme nga pajisja e infektuar. Kjo përfshin skedarët e ruajtjes së pajisjes, fotot, kontaktet, mesazhet dhe regjistrimet audio. Një aspekt tjetër i rëndësishëm i DragonEgg është komunikimi i tij me një server Command-and-Control (C2) për të tërhequr një modul të panjohur terciar që maskohet si një program mjeko-ligjor.

Zbulimi i WyrmSpy dhe DragonEgg shërben si një kujtesë prekëse e kërcënimit në rritje të paraqitur nga malware i sofistikuar Android. Këto paketa spyware përfaqësojnë një kërcënim të frikshëm, të aftë për të mbledhur fshehurazi një gamë të gjerë të dhënash nga pajisjet e komprometuara. Ndërsa peizazhi i malware të avancuar Android vazhdon të evoluojë, bëhet gjithnjë e më e rëndësishme për përdoruesit që të qëndrojnë vigjilentë dhe të marrin masa proaktive për të mbrojtur pajisjet dhe informacionin e tyre personal. Përdorimi i zgjidhjeve me reputacion të sigurisë, tregimi i kujdesit gjatë instalimit të aplikacioneve dhe qëndrimi i informuar për kërcënimet në zhvillim janë hapa thelbësorë në zbutjen e rrezikut të paraqitur nga një malware i tillë i përparuar i mbikëqyrjes.