Giảm giá nhiều giấy phép
Threat Database Mobile Malware Phần mềm độc hại di động DragonEgg

Phần mềm độc hại di động DragonEgg

Đến năm Mezo năm Mobile Malware, Advanced Persistent Threat (APT), Spyware
Dịch sang:
Tiếng Việt Nam

Theo các nhà nghiên cứu bảo mật, một nhóm gián điệp do nhà nước Trung Quốc tài trợ được xác định là APT41, còn được biết đến với các bí danh khác như Barium, Earth Baku và Winnti, đã tích cực sử dụng phần mềm độc hại phần mềm gián điệp WyrmSpy và DragonEgg để nhắm mục tiêu vào các thiết bị di động Android. Mặc dù APT41 có lịch sử dựa vào các cuộc tấn công ứng dụng Web và lỗ hổng phần mềm để nhắm mục tiêu vào các tổ chức trên toàn thế giới, nhưng gần đây nó đã thay đổi chiến thuật để phát triển phần mềm độc hại được điều chỉnh rõ ràng cho hệ điều hành Android.

Theo cách tiếp cận mới này, APT41 sử dụng cơ sở hạ tầng Command-and-Control, địa chỉ IP và miền hiện có của mình để giao tiếp và kiểm soát hai biến thể phần mềm độc hại, WyrmSpy và DragonEgg, được thiết kế đặc biệt cho các thiết bị Android. Sự thay đổi chiến lược này thể hiện khả năng thích ứng và sẵn sàng khai thác các nền tảng di động của nhóm trong các chiến dịch gián điệp của mình, đưa ra bối cảnh mối đe dọa đang phát triển cho các tổ chức trên toàn cầu.

APT41 đang mở rộng kho vũ khí đe dọa của nó

APT41 có thể đã sử dụng các chiến thuật kỹ thuật xã hội để phân phối các mối đe dọa phần mềm gián điệp WyrmSpy và DragonEgg cho các thiết bị Android. Họ đã hoàn thành việc này bằng cách ngụy trang WyrmSpy thành ứng dụng hệ thống Android mặc định và DragonEgg thành ứng dụng nhắn tin và bàn phím Android của bên thứ ba, bao gồm các nền tảng phổ biến như Telegram. Hiện tại, vẫn chưa rõ liệu việc phân phối hai loại phần mềm độc hại này xảy ra thông qua Cửa hàng Google Play chính thức hay thông qua các tệp .apk từ các nguồn khác.

Một điểm đáng chú ý là việc nhóm sử dụng các chứng chỉ ký Android tương tự cho cả WyrmSpy và DragonEgg. Tuy nhiên, chỉ dựa vào sự giống nhau này là không đủ để quy kết chính xác, vì các nhóm đe dọa Trung Quốc được biết là chia sẻ các công cụ và kỹ thuật hack, khiến việc nhận dạng trở nên khó khăn. Bằng chứng thuyết phục dẫn đến sự quy kết của họ là việc phát hiện ra rằng cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) của phần mềm độc hại có địa chỉ IP và miền Web chính xác mà APT41 đã sử dụng trong nhiều chiến dịch kéo dài từ tháng 5 năm 2014 đến tháng 8 năm 2020. Liên kết quan trọng này đã củng cố mối liên hệ giữa phần mềm gián điệp di động với tác nhân đe dọa APT41.

Việc sử dụng các kỹ thuật kỹ thuật xã hội và thao túng các ứng dụng Android để cung cấp phần mềm độc hại giám sát nhấn mạnh tầm quan trọng của bảo mật thiết bị di động. Người dùng nên thận trọng khi tải xuống các ứng dụng từ các nguồn không chính thức và sử dụng các giải pháp bảo mật có uy tín để bảo vệ chống lại các cuộc tấn công có chủ đích như vậy. Ngoài ra, việc duy trì cảnh giác chống lại các nỗ lực kỹ thuật xã hội và thường xuyên cập nhật phần mềm có thể giúp giảm thiểu nguy cơ trở thành nạn nhân của các ứng dụng đe dọa như WyrmSpy và DragonEgg.

DragonEgg hút thông tin nhạy cảm từ các thiết bị Android bị xâm nhập

DragonEgg thể hiện mức độ xâm nhập đáng lo ngại vì nó yêu cầu nhiều quyền khi cài đặt. Phần mềm độc hại giám sát này được trang bị khả năng thu thập và trích xuất dữ liệu tiên tiến. Ngoài ra, DragonEgg tận dụng một tải trọng thứ cấp có tên là smallmload.jar, cung cấp cho phần mềm độc hại các chức năng bổ sung, cho phép phần mềm này trích xuất nhiều dữ liệu nhạy cảm khác nhau từ thiết bị bị nhiễm. Điều này bao gồm các tệp lưu trữ thiết bị, ảnh, danh bạ, tin nhắn và bản ghi âm. Một khía cạnh đáng chú ý khác của DragonEgg là khả năng giao tiếp với máy chủ Command-and-Control (C2) để truy xuất một mô-đun cấp ba không xác định giả dạng là một chương trình pháp y.

Việc phát hiện ra WyrmSpy và DragonEgg đóng vai trò như một lời nhắc nhở sâu sắc về mối đe dọa leo thang do phần mềm độc hại tinh vi của Android gây ra. Các gói phần mềm gián điệp này đại diện cho một mối đe dọa ghê gớm, có khả năng lén lút thu thập nhiều loại dữ liệu từ các thiết bị bị xâm nhập. Khi bối cảnh phần mềm độc hại nâng cao của Android tiếp tục phát triển, điều ngày càng trở nên quan trọng đối với người dùng là luôn cảnh giác và thực hiện các biện pháp chủ động để bảo vệ thiết bị cũng như thông tin cá nhân của họ. Sử dụng các giải pháp bảo mật có uy tín, thận trọng khi cài đặt ứng dụng và cập nhật thông tin về các mối đe dọa mới nổi là các bước cần thiết để giảm thiểu rủi ro do phần mềm độc hại giám sát nâng cao như vậy gây ra.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...