DragonEgg มัลแวร์บนมือถือ

จากข้อมูลของนักวิจัยด้านความปลอดภัย กลุ่มจารกรรมที่ได้รับการสนับสนุนจากรัฐของจีนระบุว่าเป็น APT41 หรือที่รู้จักกันในชื่ออื่น เช่น Barium, Earth Baku และ Winnti ได้ใช้มัลแวร์สปายแวร์ WyrmSpy และ DragonEgg เพื่อกำหนดเป้าหมายอุปกรณ์มือถือ Android ในขณะที่ APT41 มีประวัติการอาศัยการโจมตีเว็บแอปพลิเคชันและช่องโหว่ของซอฟต์แวร์เพื่อกำหนดเป้าหมายไปยังองค์กรต่างๆ ทั่วโลก เมื่อไม่นานมานี้ APT41 ได้ปรับเปลี่ยนกลยุทธ์เพื่อพัฒนามัลแวร์ที่ปรับแต่งมาโดยเฉพาะสำหรับระบบปฏิบัติการ Android

ในแนวทางใหม่นี้ APT41 ใช้โครงสร้างพื้นฐาน Command-and-Control, ที่อยู่ IP และโดเมนที่มีอยู่เพื่อสื่อสารและควบคุมมัลแวร์ทั้งสองสายพันธุ์ ได้แก่ WyrmSpy และ DragonEgg ซึ่งออกแบบมาสำหรับอุปกรณ์ Android โดยเฉพาะ การเปลี่ยนแปลงเชิงกลยุทธ์นี้แสดงให้เห็นถึงความสามารถในการปรับตัวของกลุ่มและความเต็มใจที่จะใช้ประโยชน์จากแพลตฟอร์มมือถือในแคมเปญจารกรรม นำเสนอแนวภัยคุกคามที่เปลี่ยนแปลงไปสำหรับองค์กรต่างๆ ทั่วโลก

APT41 กำลังขยายคลังเครื่องมือที่คุกคาม

APT41 มีแนวโน้มที่จะใช้กลยุทธ์วิศวกรรมสังคมเพื่อกระจายภัยคุกคามสปายแวร์ WyrmSpy และ DragonEgg ไปยังอุปกรณ์ Android พวกเขาทำได้โดยการปลอม WyrmSpy เป็นแอปพลิเคชันระบบ Android เริ่มต้น และ DragonEgg เป็นแป้นพิมพ์และแอปพลิเคชันรับส่งข้อความ Android ของบริษัทอื่น รวมถึงแพลตฟอร์มยอดนิยมอย่าง Telegram ณ ตอนนี้ ยังไม่ชัดเจนว่าการแพร่กระจายของมัลแวร์ทั้งสองประเภทนี้เกิดขึ้นผ่าน Google Play Store อย่างเป็นทางการหรือผ่านไฟล์ .apk จากแหล่งอื่น

จุดสนใจที่สำคัญคือการใช้ใบรับรองการลงนาม Android ที่คล้ายกันของกลุ่มสำหรับทั้ง WyrmSpy และ DragonEgg อย่างไรก็ตาม การพึ่งพาความคล้ายคลึงกันเพียงอย่างเดียวนั้นไม่เพียงพอสำหรับการระบุแหล่งที่มาอย่างแม่นยำ เนื่องจากเป็นที่ทราบกันดีว่ากลุ่มภัยคุกคามจากจีนแบ่งปันเครื่องมือและเทคนิคการแฮ็ก ทำให้การระบุตัวตนมีความท้าทาย หลักฐานสรุปที่นำไปสู่การระบุแหล่งที่มาคือการค้นพบว่าโครงสร้างพื้นฐาน Command-and-Control (C2) ของมัลแวร์แสดงที่อยู่ IP และโดเมนเว็บที่ APT41 ใช้ในแคมเปญต่างๆ ตั้งแต่เดือนพฤษภาคม 2014 ถึงสิงหาคม 2020 การเชื่อมโยงที่สำคัญนี้ทำให้ความสัมพันธ์ของสปายแวร์มือถือกับตัวแสดงภัยคุกคาม APT41 แน่นหนา

การใช้เทคนิควิศวกรรมสังคมและการจัดการแอปพลิเคชัน Android เพื่อส่งมัลแวร์เฝ้าระวังเป็นการเน้นย้ำถึงความสำคัญของความปลอดภัยของอุปกรณ์พกพา ผู้ใช้ควรใช้ความระมัดระวังในขณะที่ดาวน์โหลดแอปพลิเคชันจากแหล่งที่ไม่เป็นทางการ และใช้โซลูชันด้านความปลอดภัยที่มีชื่อเสียงเพื่อป้องกันการโจมตีแบบกำหนดเป้าหมายดังกล่าว นอกจากนี้ การระมัดระวังอย่างต่อเนื่องต่อความพยายามด้านวิศวกรรมสังคมและการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอสามารถช่วยลดความเสี่ยงที่จะตกเป็นเหยื่อของแอปพลิเคชันที่คุกคาม เช่น WyrmSpy และ DragonEgg

DragonEgg ดักจับข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ Android ที่ถูกบุกรุก

DragonEgg แสดงระดับการล่วงล้ำที่เกี่ยวข้อง เนื่องจากมันร้องขอการอนุญาตอย่างกว้างขวางในการติดตั้ง มัลแวร์เฝ้าระวังนี้มีความสามารถในการรวบรวมและกรองข้อมูลขั้นสูง นอกจากนี้ DragonEgg ยังใช้ประโยชน์จากเพย์โหลดรองที่เรียกว่า smallmload.jar ซึ่งช่วยให้มัลแวร์มีฟังก์ชันเพิ่มเติม ทำให้สามารถกรองข้อมูลสำคัญต่างๆ ออกจากอุปกรณ์ที่ติดไวรัสได้ ซึ่งรวมถึงไฟล์ที่จัดเก็บในอุปกรณ์ ภาพถ่าย รายชื่อ ข้อความ และการบันทึกเสียง อีกแง่มุมหนึ่งที่น่าสนใจของ DragonEgg คือการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อดึงข้อมูลโมดูลระดับอุดมศึกษาที่ไม่รู้จักซึ่งปลอมแปลงเป็นโปรแกรมนิติวิทยาศาสตร์

การค้นพบ WyrmSpy และ DragonEgg ทำหน้าที่เป็นเครื่องเตือนใจถึงภัยคุกคามที่เพิ่มขึ้นซึ่งเกิดจากมัลแวร์ Android ที่ซับซ้อน แพ็คเกจสปายแวร์เหล่านี้เป็นตัวแทนของภัยคุกคามที่น่าเกรงขาม ซึ่งสามารถรวบรวมข้อมูลจำนวนมากจากอุปกรณ์ที่ถูกบุกรุกอย่างลับๆ เนื่องจากภาพรวมของมัลแวร์ Android ขั้นสูงยังคงพัฒนาอย่างต่อเนื่อง ผู้ใช้จึงต้องตื่นตัวอยู่เสมอและใช้มาตรการเชิงรุกเพื่อปกป้องอุปกรณ์และข้อมูลส่วนตัวของตน การใช้โซลูชันการรักษาความปลอดภัยที่มีชื่อเสียง การใช้ความระมัดระวังเมื่อติดตั้งแอปพลิเคชัน และการรับทราบข้อมูลเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่เป็นขั้นตอนสำคัญในการลดความเสี่ยงที่เกิดจากมัลแวร์เฝ้าระวังขั้นสูงดังกล่าว