WyrmSpy Mobile Malware

Plodný Čínou podporovaný národní státní představitel, APT41, byl nedávno spojován s objevem dvou dříve nezdokumentovaných kmenů spywaru Android známých jako WyrmSpy a DragonEgg . APT41 je proslulý svými odbornými znalostmi v oblasti využívání webových aplikací a infiltrace tradičních koncových zařízení.

Rozšířením svého arzenálu malwaru tak, aby zahrnoval mobilní zařízení, APT 41 jasně demonstruje význam mobilních koncových bodů jako vysoce hodnotných cílů uchovávajících kýžená firemní a osobní data. To zdůrazňuje rostoucí důležitost zabezpečení mobilních zařízení proti sofistikovaným hrozbám, které představují etablovaní aktéři hrozeb, jako je APT 41.

WyrmSpy mohou být používáni kyberzločinci po celá léta

Oddělení pro kyberzločin APT41, také známé pod různými jmény jako Axiom, Blackfly, Brass Typhoon (dříve Barium), Bronze Atlas, HOODOO, Wicked Panda a Winnti, funguje minimálně od roku 2007 a vykazuje trvalou přítomnost v kybernetickém prostředí. Tento sofistikovaný aktér hrozeb se zaměřuje na různá průmyslová odvětví s cílem provozovat duševní vlastnictví a citlivé informace.

V poslední době byl APT41 zodpovědný za spouštění útoků pomocí open-source červeného týmového nástroje s názvem Google Command and Control (GC2). Tyto útoky byly konkrétně zaměřeny na média a pracovní platformy na Tchaj-wanu a v Itálii, což demonstrovalo neustále se vyvíjející taktiku a cíle kolektivu.

Pokud jde o jejich kampaň s mobilním sledovacím softwarem, přesná metoda počátečního vniknutí zůstává nezveřejněna, existují však podezření na použití technik sociálního inženýrství. WyrmSpy byl poprvé detekován již v roce 2017, což naznačuje dlouhodobé a pokračující aktivity skupiny v mobilní sféře. Následně byl DragonEgg identifikován na začátku roku 2021 a nové vzorky tohoto malwaru byly pozorovány až v dubnu 2023, což zdůrazňuje pokračující hrozbu, kterou představuje APT41.

Hrozivé schopnosti nalezené v malwaru WyrmSpy pro Android

WyrmSpy používá klamavou taktiku tím, že se maskuje jako výchozí systémová aplikace zodpovědná za zobrazování upozornění uživatelů. V pozdějších variantách byl malware vložen do aplikací vydávajících se za video obsah pro dospělé, Baidu Waimai a Adobe Flash. Zejména neexistuje žádný důkaz, který by naznačoval, že tyto nepoctivé aplikace byly někdy distribuovány prostřednictvím oficiálního obchodu Google Play. Přesný počet obětí, na které se WyrmSpy zaměřil, zůstává neznámý.

Spojení mezi WyrmSpy a APT41 je zřejmé díky použití serveru Command-and-Control (C2) s IP adresou 121[.]42[.]149[.]52. Tato IP adresa odpovídá doméně 'vpn2.umisen[.]com', která byla dříve přidružena k infrastruktuře skupiny APT41.

Po úspěšné instalaci požaduje WyrmSpy rušivá oprávnění, která hrozbě umožní provádět sofistikované činnosti shromažďování dat a exfiltraci na napadeném zařízení Android. Malware je schopen sklízet citlivé uživatelské informace, včetně fotografií, údajů o poloze, SMS zpráv a zvukových nahrávek.

WyrmSpy také prokázal svou přizpůsobivost využitím modulů, které jsou staženy ze serveru C2. Tento přístup umožňuje malwaru vylepšit možnosti sběru dat a zároveň se vyhnout detekci.

Kromě toho WyrmSpy zobrazuje pokročilé funkce, protože může deaktivovat Security-Enhanced Linux (SELinux), bezpečnostní funkci v operačním systému Android. Kromě toho využívá rootovací nástroje, jako je KingRoot11, k získání zvýšených oprávnění na napadených mobilních zařízeních.