WyrmSpy Mobile Malware

Плодовитият, подкрепян от Китай национален държавен актьор, APT41, наскоро беше свързан с откриването на два недокументирани преди това разновидности на шпионски софтуер за Android, известни като WyrmSpy и DragonEgg . APT41 е известен със своя опит в използването на уеб приложения и проникването в традиционни крайни устройства.

Чрез разширяване на своя арсенал от зловреден софтуер, за да включи мобилни устройства, APT 41 ясно демонстрира значението на мобилните крайни точки като цели с висока стойност, съдържащи желани корпоративни и лични данни. Това подчертава нарастващото значение на защитата на мобилните устройства срещу сложни заплахи, породени от утвърдени заплахи като APT 41.

WyrmSpy може да е бил използван от киберпрестъпници от години

Групата за киберпрестъпления APT41, известна също с различни имена като Axiom, Blackfly, Brass Typhoon (бивш Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti, работи поне от 2007 г., показвайки постоянно присъствие в кибернетичното пространство. Този усъвършенстван актьор на заплаха се е насочил към различни индустрии с цел управление на интелектуална собственост и чувствителна информация.

В последно време APT41 е отговорен за стартирането на атаки, използвайки инструмент за червен екип с отворен код, наречен Google Command and Control (GC2). Тези атаки бяха конкретно насочени към медии и платформи за работа в Тайван и Италия, демонстрирайки непрекъснато развиващите се тактики и цели на колектива.

Що се отнася до тяхната кампания за мобилно наблюдение, точният метод на първоначално проникване остава неразкрит, но има подозрения за използването на техники за социално инженерство. WyrmSpy беше открит за първи път още през 2017 г., което показва продължителните и продължаващи дейности на групата в мобилната сфера. Впоследствие DragonEgg беше идентифициран в началото на 2021 г. и нови проби от този зловреден софтуер бяха наблюдавани наскоро през април 2023 г., което подчертава продължаващата заплаха, представлявана от APT41.

Заплашващите възможности, открити в WyrmSpy Android Malware

WyrmSpy използва измамни тактики, като се прикрива като системно приложение по подразбиране, отговорно за показване на потребителски известия. В по-късни варианти зловредният софтуер е вграден в приложения, представящи се като видео съдържание за възрастни, Baidu Waimai и Adobe Flash. Трябва да се отбележи, че няма доказателства, които да предполагат, че тези измамни приложения някога са били разпространявани чрез официалния Google Play Store. Точният брой на жертвите, набелязани от WyrmSpy, остава неизвестен.

Връзката между WyrmSpy и APT41 става очевидна чрез използването на Command-and-Control (C2) сървър с IP адрес 121[.]42[.]149[.]52. Този IP адрес съответства на домейна „vpn2.umisen[.]com“, който преди това е бил свързан с инфраструктурата на групата APT41.

Веднъж успешно инсталиран, WyrmSpy изисква натрапчиви разрешения, позволявайки на заплахата да изпълни усъвършенствани дейности за събиране на данни и ексфилтрация на компрометираното устройство с Android. Зловреден софтуер е в състояние да събира чувствителна потребителска информация, включително снимки, данни за местоположение, SMS съобщения и аудио записи.

WyrmSpy също демонстрира своята адаптивност чрез използване на модули, които се изтеглят от C2 сървър. Този подход позволява на злонамерения софтуер да подобри възможностите си за събиране на данни, като същевременно избягва откриването.

Освен това WyrmSpy показва разширени функционалности, тъй като може да деактивира Linux с подобрена сигурност (SELinux), функция за сигурност в операционната система Android. Освен това той използва инструменти за руутване като KingRoot11, за да получи повишени привилегии на компрометирани мобилни устройства.