Malware ng DragonEgg Mobile

Ayon sa mga security researcher, isang Chinese state-sponsored espionage group na kinilala bilang APT41, na kilala rin sa iba pang mga alias gaya ng Barium, Earth Baku, at Winnti, ay aktibong gumagamit ng WyrmSpy at ng DragonEgg spyware malware upang i-target ang mga Android mobile device. Habang ang APT41 ay may kasaysayan ng pag-asa sa mga pag-atake sa Web application at mga kahinaan sa software upang i-target ang mga organisasyon sa buong mundo, kamakailan ay binago nito ang mga taktika nito upang bumuo ng malware na tahasang iniakma para sa operating system ng Android.

Sa bagong diskarte na ito, ginagamit ng APT41 ang umiiral nitong imprastraktura ng Command-and-Control, mga IP address, at mga domain para makipag-ugnayan at makontrol ang dalawang variant ng malware, WyrmSpy at DragonEgg, na partikular na idinisenyo para sa mga Android device. Ang madiskarteng pagbabagong ito ay nagpapakita ng kakayahang umangkop at pagpayag ng grupo na samantalahin ang mga mobile platform sa mga kampanyang espiya nito, na nagpapakita ng isang umuusbong na tanawin ng pagbabanta para sa mga organisasyon sa buong mundo.

Pinapalawak ng APT41 ang Nagbabantang Arsenal of Tools Nito

Malamang na gumamit ang APT41 ng mga taktika ng social engineering upang ipamahagi ang mga banta ng WyrmSpy at DragonEgg spyware sa mga Android device. Nagawa nila ito sa pamamagitan ng pagkukunwari sa WyrmSpy bilang default na Android system application at DragonEgg bilang mga third-party na Android keyboard at messaging application, kabilang ang mga sikat na platform tulad ng Telegram. Sa ngayon, nananatiling hindi malinaw kung ang pamamahagi ng dalawang uri ng malware na ito ay naganap sa pamamagitan ng opisyal na Google Play Store o sa pamamagitan ng .apk na mga file mula sa iba pang mga mapagkukunan.

Ang isang mahalagang punto ng interes ay ang paggamit ng grupo ng mga katulad na Android signing certificate para sa parehong WyrmSpy at DragonEgg. Gayunpaman, ang pag-asa lamang sa pagkakatulad na ito ay hindi sapat para sa tumpak na pagpapatungkol, dahil kilala ang mga Chinese threat group na nagbabahagi ng mga tool at diskarte sa pag-hack, na ginagawang mahirap ang pagkilala. Ang pangwakas na katibayan na humantong sa kanilang pagpapatungkol ay ang pagkatuklas na ang imprastraktura ng Command-and-Control (C2) ng malware ay itinampok ang eksaktong IP address at Web domain na ginamit ng APT41 sa maraming campaign mula Mayo 2014 hanggang Agosto 2020. Pinatibay ng mahalagang link na ito ang kaugnayan ng mobile spyware sa APT41 threat actor.

Ang paggamit ng mga diskarte sa social engineering at ang pagmamanipula ng mga Android application para maghatid ng malware sa pagsubaybay ay binibigyang-diin ang kahalagahan ng seguridad ng mobile device. Pinapayuhan ang mga user na mag-ingat habang nagda-download ng mga application mula sa mga hindi opisyal na mapagkukunan at gumamit ng mga mapagkakatiwalaang solusyon sa seguridad upang maprotektahan laban sa mga naturang target na pag-atake. Bukod pa rito, ang pananatiling mapagbantay laban sa mga pagtatangka sa social engineering at regular na pag-update ng software ay makakatulong na mabawasan ang panganib na maging biktima ng mga nagbabantang application tulad ng WyrmSpy at DragonEgg.

DragonEgg Siphons Sensitive Information mula sa Mga Nakompromisong Android Device

Nagpapakita ang DragonEgg ng may kinalaman sa antas ng panghihimasok habang humihiling ito ng malawak na pahintulot sa pag-install. Ang surveillance malware na ito ay nilagyan ng advanced na data collection at exfiltration na mga kakayahan. Bukod pa rito, ginagamit ng DragonEgg ang pangalawang kargamento na tinatawag na smallmload.jar, na nagbibigay sa malware ng karagdagang functionality, na nagbibigay-daan dito na maalis ang iba't ibang sensitibong data mula sa nahawaang device. Kabilang dito ang mga file ng storage ng device, mga larawan, mga contact, mga mensahe at mga audio recording. Ang isa pang kapansin-pansing aspeto ng DragonEgg ay ang pakikipag-ugnayan nito sa isang Command-and-Control (C2) server upang makuha ang hindi kilalang tertiary module na nagpapanggap bilang isang forensics program.

Ang pagkatuklas ng WyrmSpy at DragonEgg ay nagsisilbing isang matinding paalala ng tumitinding banta na dulot ng sopistikadong Android malware. Ang mga spyware package na ito ay kumakatawan sa isang mabigat na banta, na may kakayahang palihim na mangalap ng malawak na hanay ng data mula sa mga nakompromisong device. Habang patuloy na umuunlad ang landscape ng advanced na Android malware, lalong nagiging mahalaga para sa mga user na manatiling alerto at gumawa ng mga proactive na hakbang para pangalagaan ang kanilang mga device at personal na impormasyon. Ang paggamit ng mga mapagkakatiwalaang solusyon sa seguridad, pag-iingat kapag nag-i-install ng mga application, at pananatiling kaalaman tungkol sa mga umuusbong na banta ay mahahalagang hakbang sa pag-iwas sa panganib na dulot ng naturang advanced na surveillance malware.