Зловмисне програмне забезпечення для мобільних пристроїв DragonEgg

За даними дослідників безпеки, китайська державна шпигунська група, ідентифікована як APT41, також відома під іншими псевдонімами, такими як Barium, Earth Baku і Winnti, активно використовує WyrmSpy і шпигунське програмне забезпечення DragonEgg для націлювання на мобільні пристрої Android. Незважаючи на те, що APT41 раніше покладався на атаки веб-додатків і вразливості програмного забезпечення для цільових організацій по всьому світу, нещодавно він змінив свою тактику, розробляючи зловмисне програмне забезпечення, спеціально розроблене для операційної системи Android.

У цьому новому підході APT41 використовує свою існуючу інфраструктуру командування та керування, IP-адреси та домени для зв’язку з двома варіантами зловмисного програмного забезпечення WyrmSpy та DragonEgg, спеціально розроблених для пристроїв Android, і керування ними. Цей стратегічний зсув демонструє здатність групи до адаптації та готовність використовувати мобільні платформи у своїх шпигунських кампаніях, створюючи мінливий ландшафт загроз для організацій у всьому світі.

APT41 розширює свій небезпечний арсенал інструментів

Ймовірно, APT41 використовував тактику соціальної інженерії, щоб розповсюдити шпигунські програми WyrmSpy і DragonEgg на пристрої Android. Вони досягли цього, замаскувавши WyrmSpy як системну програму Android за замовчуванням, а DragonEgg — як сторонні клавіатури Android і програми обміну повідомленнями, включаючи такі популярні платформи, як Telegram. Наразі залишається незрозумілим, чи відбувалося розповсюдження цих двох типів шкідливих програм через офіційний магазин Google Play або через файли .apk з інших джерел.

Важливим моментом є використання групою подібних сертифікатів підпису Android як для WyrmSpy, так і для DragonEgg. Однак покладатися лише на цю подібність недостатньо для точного визначення авторства, оскільки відомо, що китайські групи загрози мають спільні інструменти та методи злому, що ускладнює ідентифікацію. Переконливим доказом їх приписування стало відкриття того, що інфраструктура командування та керування (C2) зловмисного програмного забезпечення містила точну IP-адресу та веб-домен, які APT41 використовував у кількох кампаніях, що охоплювали травень 2014 року по серпень 2020 року. Цей важливий зв’язок зміцнив асоціацію мобільного шпигунського ПЗ із загрозою APT41.

Використання методів соціальної інженерії та маніпуляції програмами Android для доставки зловмисного програмного забезпечення для спостереження підкреслює важливість безпеки мобільних пристроїв. Користувачам радимо бути обережними під час завантаження програм із неофіційних джерел і використовувати перевірені рішення безпеки для захисту від таких цілеспрямованих атак. Крім того, пильність щодо спроб соціальної інженерії та регулярне оновлення програмного забезпечення може допомогти зменшити ризик стати жертвою таких загрозливих програм, як WyrmSpy і DragonEgg.

DragonEgg перебирає конфіденційну інформацію зі зламаних пристроїв Android

DragonEgg демонструє надзвичайний рівень нав’язливості, оскільки під час інсталяції вимагає широких дозволів. Це зловмисне програмне забезпечення для стеження оснащене розширеними можливостями збору та вилучення даних. Крім того, DragonEgg використовує вторинне корисне навантаження під назвою smallmload.jar, яке надає зловмисному програмному забезпеченню додаткові функції, дозволяючи йому вилучати різні конфіденційні дані з зараженого пристрою. Це включає файли зберігання пристрою, фотографії, контакти, повідомлення та аудіозаписи. Іншим заслуговує на увагу аспектом DragonEgg є його зв’язок із сервером командування та керування (C2) для отримання невідомого третього модуля, який маскується під програму криміналістики.

Відкриття WyrmSpy і DragonEgg служить гострим нагадуванням про ескалацію загрози, яку створює складне шкідливе програмне забезпечення Android. Ці пакети шпигунського програмного забезпечення представляють величезну загрозу, здатну непомітно збирати широкий діапазон даних із скомпрометованих пристроїв. У міру того, як середовищі зловмисного програмного забезпечення Android постійно розвиваються, користувачам стає все більш важливо бути пильними та вживати профілактичних заходів для захисту своїх пристроїв і особистої інформації. Застосування надійних рішень безпеки, дотримання обережності під час встановлення додатків і отримання інформації про нові загрози є важливими кроками для зменшення ризику, пов’язаного з такими вдосконаленими шкідливими програмами для спостереження.