ДрагонЕгг Мобиле Малваре
Према истраживачима безбедности, шпијунска група коју спонзорише кинеска држава идентификована као АПТ41, позната и по другим псеудонима као што су Баријум, Еартх Баку и Виннти, активно користи ВирмСпи и шпијунски малвер ДрагонЕгг за циљање Андроид мобилних уређаја. Иако се АПТ41 у прошлости ослањао на нападе на веб апликације и рањивости софтвера како би циљао организације широм света, недавно је променио своју тактику да развије малвер који је експлицитно скројен за Андроид оперативни систем.
У овом новом приступу, АПТ41 користи своју постојећу инфраструктуру за команду и контролу, ИП адресе и домене да комуницира и контролише две варијанте малвера, ВирмСпи и ДрагонЕгг, посебно дизајниране за Андроид уређаје. Ова стратешка промена показује прилагодљивост и спремност групе да искоришћава мобилне платформе у својим шпијунским кампањама, представљајући еволуирајући пејзаж претњи за организације широм света.
АПТ41 проширује свој претећи арсенал алата
АПТ41 је вероватно користио тактику друштвеног инжењеринга за дистрибуцију претњи шпијунског софтвера ВирмСпи и ДрагонЕгг на Андроид уређаје. Ово су постигли тако што су ВирмСпи прикрили као подразумевану Андроид системску апликацију и ДрагонЕгг као Андроид тастатуре и апликације за размену порука трећих страна, укључујући популарне платформе попут Телеграма. За сада остаје нејасно да ли је до дистрибуције ова два типа малвера дошло преко званичне Гоогле Плаи продавнице или преко .апк датотека из других извора.
Значајна тачка интересовања је употреба сличних Андроид сертификата за потписивање од стране групе за ВирмСпи и ДрагонЕгг. Међутим, само ослањање на ову сличност није довољно за прецизну атрибуцију, пошто је познато да кинеске претње групе деле алате и технике хаковања, што идентификацију чини изазовном. Коначан доказ који је довео до њиховог приписивања је откриће да инфраструктура за команду и контролу (Ц2) малвера садржи тачну ИП адресу и веб домен које је АПТ41 користио у више кампања у периоду од маја 2014. до августа 2020. Ова кључна веза је учврстила повезаност мобилног шпијунског софтвера са претњом АПТ41.
Употреба техника друштвеног инжењеринга и манипулација Андроид апликацијама за испоруку злонамерног софтвера за надзор наглашава значај безбедности мобилних уређаја. Корисницима се саветује да буду опрезни приликом преузимања апликација из незваничних извора и да користе реномирана безбедносна решења за заштиту од таквих циљаних напада. Поред тога, задржавање опреза против покушаја друштвеног инжењеринга и редовно ажурирање софтвера може помоћи у смањењу ризика да постанете жртва претећих апликација као што су ВирмСпи и ДрагонЕгг.
ДрагонЕгг Сифони осетљиве информације са компромитованих Андроид уређаја
ДрагонЕгг показује забрињавајући ниво наметљивости јер захтева опсежне дозволе након инсталације. Овај злонамерни софтвер за надзор је опремљен напредним могућностима прикупљања података и ексфилтрације. Поред тога, ДрагонЕгг користи секундарни корисни терет под називом смаллмлоад.јар, који малверу даје додатне функционалности, омогућавајући му да ексфилтрира различите осетљиве податке са зараженог уређаја. Ово укључује датотеке за складиштење уређаја, фотографије, контакте, поруке и аудио снимке. Још један значајан аспект ДрагонЕгг-а је његова комуникација са сервером за команду и контролу (Ц2) ради преузимања непознатог терцијарног модула који се маскира као форензички програм.
Откриће ВирмСпи и ДрагонЕгг служи као дирљив подсетник на растућу претњу коју представља софистицирани Андроид малвер. Ови пакети шпијунског софтвера представљају огромну претњу, способни да прикривено прикупе широк спектар података са компромитованих уређаја. Како пејзаж напредног Андроид малвера наставља да се развија, постаје све важније да корисници остану опрезни и предузму проактивне мере за заштиту својих уређаја и личних података. Коришћење реномираних безбедносних решења, опрез приликом инсталирања апликација и информисање о новим претњама су суштински кораци у ублажавању ризика који представља тако напредни малвер за надзор.
