WyrmSpy Mobile البرامج الضارة

تم مؤخرًا ربط ممثل الدولة القومية المدعوم من الصين ، APT41 ، باكتشاف سلالتين غير مسجلين سابقًا من برامج التجسس التي تعمل بنظام Android والمعروفة باسم WyrmSpy و DragonEgg . تشتهر APT41 بخبرتها في استغلال التطبيقات التي تواجه الويب واختراق أجهزة نقاط النهاية التقليدية.

من خلال توسيع ترسانته من البرامج الضارة لتشمل الأجهزة المحمولة ، يوضح APT 41 بوضوح أهمية نقاط النهاية المتنقلة كأهداف عالية القيمة تضم البيانات الشخصية والشخصية المرغوبة. وهذا يسلط الضوء على الأهمية المتزايدة لتأمين الأجهزة المحمولة ضد التهديدات المعقدة التي تشكلها الجهات الفاعلة القائمة على التهديد مثل APT 41.

ربما تم استخدام WyrmSpy من قبل مجرمي الإنترنت لسنوات

تعمل مجموعة APT41 الخاصة بالجرائم الإلكترونية ، والمعروفة أيضًا بأسماء مختلفة مثل Axiom و Blackfly و Brass Typhoon (Barium سابقًا) و Bronze Atlas و HOODOO و Wicked Panda و Winnti ، منذ عام 2007 على الأقل ، مما يُظهر وجودًا مستمرًا في المشهد السيبراني. استهدف ممثل التهديد المعقد هذا صناعات مختلفة بهدف إجراء الملكية الفكرية والمعلومات الحساسة.

في الآونة الأخيرة ، كان APT41 مسؤولاً عن شن هجمات باستخدام أداة فرق حمراء مفتوحة المصدر تسمى Google Command and Control (GC2). كانت هذه الهجمات موجهة بشكل خاص إلى وسائل الإعلام ومنصات العمل في تايوان وإيطاليا ، مما يدل على تكتيكات وأهداف المجموعة دائمة التطور.

أما بالنسبة لحملة برامج المراقبة المحمولة الخاصة بهم ، فإن الطريقة الدقيقة للتطفل الأولي لم يتم الكشف عنها ، ولكن هناك شكوك حول استخدام تقنيات الهندسة الاجتماعية. تم اكتشاف WyrmSpy لأول مرة في وقت مبكر من عام 2017 ، مما يشير إلى أنشطة المجموعة المطولة والمستمرة في عالم الهاتف المحمول. بعد ذلك ، تم تحديد DragonEgg في بداية عام 2021 ، ولوحظت عينات جديدة من هذا البرنامج الضار مؤخرًا في أبريل 2023 ، مما يؤكد التهديد المستمر الذي تشكله APT41.

قدرات التهديد الموجودة في WyrmSpy Android Malware

يستخدم WyrmSpy تكتيكات خادعة من خلال التنكر على أنه تطبيق نظام افتراضي مسؤول عن عرض إشعارات المستخدم. في الإصدارات اللاحقة ، تم تضمين البرنامج الضار في تطبيقات تتظاهر بمحتوى فيديو للبالغين ، Baidu Waimai و Adobe Flash. والجدير بالذكر أنه لا يوجد دليل يشير إلى أن هذه التطبيقات المارقة قد تم توزيعها من خلال متجر Google Play الرسمي. لا يزال العدد الدقيق للضحايا المستهدفين من قبل WyrmSpy غير معروف.

يصبح الاتصال بين WyrmSpy و APT41 واضحًا من خلال استخدامه لخادم الأوامر والتحكم (C2) بعنوان IP 121 [.] 42 [.] 149 [.] 52. يتوافق عنوان IP هذا مع المجال "vpn2.umisen [.] com" الذي كان مرتبطًا سابقًا بالبنية التحتية لمجموعة APT41.

بمجرد التثبيت بنجاح ، يطلب WyrmSpy أذونات تدخلية ، مما يسمح للتهديد بتنفيذ أنشطة جمع البيانات المعقدة وعمليات الاستخراج على جهاز Android المخترق. البرنامج الضار قادر على جمع معلومات المستخدم الحساسة ، بما في ذلك الصور وبيانات الموقع ورسائل SMS والتسجيلات الصوتية.

أظهر WyrmSpy أيضًا قدرته على التكيف من خلال استخدام الوحدات النمطية التي يتم تنزيلها من خادم C2. يسمح هذا الأسلوب للبرامج الضارة بتعزيز قدراتها في جمع البيانات أثناء التهرب من الاكتشاف.

بالإضافة إلى ذلك ، يعرض WyrmSpy وظائف متقدمة ، حيث يمكنه تعطيل Security-Enhanced Linux (SELinux) ، وهي ميزة أمان داخل نظام التشغيل Android. علاوة على ذلك ، فإنه يستغل أدوات التجذير مثل KingRoot11 للحصول على امتيازات عالية على الأجهزة المحمولة المعرضة للخطر.