Programari maliciós mòbil WyrmSpy
El prolífic actor d'estat-nació recolzat per la Xina, APT41, s'ha relacionat recentment amb el descobriment de dues varietats de programari espia d'Android abans no documentades conegudes com WyrmSpy i DragonEgg . APT41 és conegut per la seva experiència en l'explotació d'aplicacions web i la infiltració de dispositius de punt final tradicionals.
En expandir el seu arsenal de programari maliciós per incloure dispositius mòbils, APT 41 demostra clarament la importància dels punts finals mòbils com a objectius d'alt valor que allotgen les cobejades dades personals i corporatives. Això posa de manifest la importància creixent de protegir els dispositius mòbils contra les amenaces sofisticades plantejades per actors d'amenaces establerts com APT 41.
WyrmSpy podria haver estat utilitzat pels cibercriminals durant anys
L'equip de ciberdelinqüència APT41, també reconegut per diversos noms com Axiom, Blackfly, Brass Typhoon (antigament Barium), Bronze Atlas, HOODOO, Wicked Panda i Winnti, funciona des d'almenys l'any 2007, mostrant una presència persistent en el paisatge cibernètic. Aquest sofisticat actor d'amenaces s'ha dirigit a diverses indústries amb l'objectiu de dur a terme propietat intel·lectual i informació sensible.
En els últims temps, APT41 s'ha encarregat de llançar atacs utilitzant una eina d'equip vermell de codi obert anomenada Google Command and Control (GC2). Aquests atacs es van dirigir específicament a mitjans i plataformes de treball a Taiwan i Itàlia, demostrant les tàctiques i els objectius en constant evolució del col·lectiu.
Pel que fa a la seva campanya de programari de vigilància mòbil, el mètode exacte d'intrusió inicial encara no es revela, però hi ha sospites de l'ús de tècniques d'enginyeria social. WyrmSpy es va detectar per primera vegada el 2017, cosa que indica les activitats prolongades i continuades del grup a l'àmbit mòbil. Posteriorment, DragonEgg es va identificar a principis de 2021 i es van observar noves mostres d'aquest programari maliciós fins a l'abril de 2023, posant èmfasi en l'amenaça contínua que suposa l'APT41.
Les capacitats amenaçadores que es troben al programari maliciós d'Android WyrmSpy
WyrmSpy utilitza tàctiques enganyoses disfressant-se com una aplicació del sistema predeterminada responsable de mostrar les notificacions dels usuaris. En variacions posteriors, el programari maliciós s'ha incrustat en aplicacions que es presenten com a contingut de vídeo per a adults, Baidu Waimai i Adobe Flash. En particular, no hi ha proves que suggereixin que aquestes aplicacions canalla es van distribuir mai a través de la botiga oficial de Google Play. El nombre exacte de víctimes apuntades per WyrmSpy segueix sent desconegut.
La connexió entre WyrmSpy i APT41 es fa evident mitjançant la utilització d'un servidor d'ordres i control (C2) amb l'adreça IP 121[.]42[.]149[.]52. Aquesta adreça IP correspon al domini 'vpn2.umisen[.]com' que s'ha associat prèviament a la infraestructura del grup APT41.
Un cop instal·lat amb èxit, WyrmSpy sol·licita permisos intrusius, que permeten que l'amenaça executi activitats sofisticades de recollida i exfiltració de dades al dispositiu Android compromès. El programari maliciós és capaç de recollir informació confidencial de l'usuari, incloses fotos, dades d'ubicació, missatges SMS i enregistraments d'àudio.
WyrmSpy també ha demostrat la seva adaptabilitat utilitzant mòduls que es descarreguen d'un servidor C2. Aquest enfocament permet que el programari maliciós millori les seves capacitats de recopilació de dades alhora que evita la detecció.
A més, WyrmSpy mostra funcionalitats avançades, ja que pot desactivar Security-Enhanced Linux (SELinux), una característica de seguretat del sistema operatiu Android. A més, aprofita eines d'arrelament com KingRoot11 per obtenir privilegis elevats en dispositius mòbils compromesos.
