DragonEgg 移動惡意軟件

據安全研究人員稱，一個名為 APT41 的中國國家支持的間諜組織（也稱為 Barium、Earth Baku 和 Winnti 等其他別名）一直在積極利用 WyrmSpy 和 DragonEgg 間諜軟件惡意軟件來針對 Android 移動設備。雖然APT41長期以來一直依靠 Web 應用程序攻擊和軟件漏洞來攻擊全球組織，但它最近改變了策略，專門開發針對 Android 操作系統的惡意軟件。

在這種新方法中，APT41 利用其現有的命令和控制基礎設施、IP 地址和域來與專為 Android 設備設計的兩種惡意軟件變體WyrmSpy和 DragonEgg 進行通信並控制。這一戰略轉變展示了該組織在間諜活動中利用移動平台的適應性和意願，為全球組織呈現出不斷變化的威脅格局。

APT41 正在擴大其威脅工具庫

APT41 可能採用社會工程策略將 WyrmSpy 和 DragonEgg 間諜軟件威脅分發到 Android 設備。他們通過將 WyrmSpy 偽裝成默認的 Android 系統應用程序，將 DragonEgg 偽裝成第三方 Android 鍵盤和消息應用程序（包括 Telegram 等流行平台）來實現這一目標。截至目前，尚不清楚這兩種惡意軟件類型的分發是通過官方 Google Play 商店還是通過其他來源的 .apk 文件進行的。

一個重要的興趣點是該組織對 WyrmSpy 和 DragonEgg 使用類似的 Android 簽名證書。然而，僅僅依靠這種相似性並不足以進行精確歸因，因為眾所周知，中國威脅組織共享黑客工具和技術，這使得識別具有挑戰性。確定其歸屬的決定性證據是發現該惡意軟件的命令與控制 (C2) 基礎設施具有 APT41 在 2014 年 5 月至 2020 年 8 月的多次活動中使用的確切 IP 地址和 Web 域。這一關鍵鏈接鞏固了移動間諜軟件與 APT41 威脅行為者的關聯。

使用社會工程技術和操縱 Android 應用程序來傳播監視惡意軟件強調了移動設備安全的重要性。建議用戶在從非官方來源下載應用程序時務必謹慎，並採用信譽良好的安全解決方案來防範此類針對性攻擊。此外，對社會工程嘗試保持警惕並定期更新軟件可以幫助降低成為 WyrmSpy 和 DragonEgg 等威脅應用程序受害者的風險。

DragonEgg 從受感染的 Android 設備中竊取敏感信息

DragonEgg 表現出令人擔憂的侵入性，因為它在安裝時需要廣泛的權限。這種監視惡意軟件配備了先進的數據收集和滲透功能。此外，DragonEgg還利用了名為smallmload.jar的輔助有效負載，該有效負載為惡意軟件提供了更多功能，使其能夠從受感染的設備中竊取各種敏感數據。這包括設備存儲文件、照片、聯繫人、消息和錄音。 DragonEgg 另一個值得注意的方面是它與命令與控制 (C2) 服務器的通信，以檢索偽裝成取證程序的未知第三級模塊。

WyrmSpy 和 DragonEgg 的發現深刻地提醒人們，複雜的 Android 惡意軟件所構成的威脅不斷升級。這些間諜軟件程序包構成了強大的威脅，能夠從受感染的設備中秘密收集大量數據。隨著高級 Android 惡意軟件不斷發展，用戶保持警惕並採取主動措施保護其設備和個人信息變得越來越重要。採用信譽良好的安全解決方案、安裝應用程序時保持謹慎以及隨時了解新出現的威脅是減輕此類高級監控惡意軟件所帶來風險的重要步驟。