WyrmSpy Mobile Malware

Den produktive Kina-støttede nationalstatsaktør, APT41, er for nylig blevet sat i forbindelse med opdagelsen af to tidligere udokumenterede stammer af Android-spyware kendt som WyrmSpy og DragonEgg . APT41 er kendt for sin ekspertise i at udnytte web-vendende applikationer og infiltrere traditionelle endpoint-enheder.

Ved at udvide sit arsenal af malware til at omfatte mobile enheder, demonstrerer APT 41 tydeligt betydningen af mobile endepunkter som mål af høj værdi, der huser eftertragtede virksomheds- og personlige data. Dette understreger den stigende betydning af at sikre mobile enheder mod sofistikerede trusler fra etablerede trusselsaktører som APT 41.

WyrmSpy kan have været brugt af cyberkriminelle i årevis

Cyberkriminalitets-outfittet APT41, der også er anerkendt af forskellige navne såsom Axiom, Blackfly, Brass Typhoon (tidligere Barium), Bronze Atlas, HOODOO, Wicked Panda og Winnti, har været i drift siden mindst 2007 og har vist en vedvarende tilstedeværelse i cyberlandskabet. Denne sofistikerede trusselsaktør har været rettet mod forskellige industrier med det formål at udføre intellektuel ejendomsret og følsom information.

I den seneste tid har APT41 været ansvarlig for at lancere angreb ved at bruge et open source red teaming-værktøj kaldet Google Command and Control (GC2). Disse angreb var specifikt rettet mod medier og jobplatforme i Taiwan og Italien, hvilket demonstrerer kollektivets stadigt udviklende taktik og mål.

Hvad angår deres mobile overvågningskampagne, forbliver den nøjagtige metode til indtrængen af indledning uoplyst, men der er mistanke om brugen af social engineering-teknikker. WyrmSpy blev først opdaget så tidligt som i 2017, hvilket indikerer gruppens langvarige og fortsatte aktiviteter i det mobile område. Efterfølgende blev DragonEgg identificeret i begyndelsen af 2021, og nye prøver af denne malware blev observeret så sent som i april 2023, hvilket understregede den igangværende trussel fra APT41.

De truende egenskaber fundet i WyrmSpy Android Malware

WyrmSpy anvender vildledende taktikker ved at forklæde sig selv som en standard systemapplikation, der er ansvarlig for at vise brugermeddelelser. I senere varianter er malwaren blevet indlejret i applikationer, der udgiver sig for at være voksent videoindhold, Baidu Waimai og Adobe Flash. Navnlig er der ingen beviser, der tyder på, at disse useriøse apps nogensinde blev distribueret gennem den officielle Google Play Butik. Det nøjagtige antal ofre, der er målrettet af WyrmSpy, er stadig ukendt.

Forbindelsen mellem WyrmSpy og APT41 bliver tydelig gennem dens brug af en Command-and-Control-server (C2) med IP-adressen 121[.]42[.]149[.]52. Denne IP-adresse svarer til domænet 'vpn2.umisen[.]com', der tidligere har været knyttet til infrastrukturen i APT41-gruppen.

Når den er installeret med succes, anmoder WyrmSpy om påtrængende tilladelser, hvilket tillader truslen at udføre sofistikerede dataindsamlings- og eksfiltreringsaktiviteter på den kompromitterede Android-enhed. Malwaren er i stand til at indsamle følsomme brugeroplysninger, herunder fotos, lokationsdata, SMS-beskeder og lydoptagelser.

WyrmSpy har også demonstreret sin tilpasningsevne ved at bruge moduler, der downloades fra en C2-server. Denne tilgang gør det muligt for malwaren at forbedre sine dataindsamlingsmuligheder, mens den undgår opdagelse.

Derudover viser WyrmSpy avancerede funktionaliteter, da det kan deaktivere Security-Enhanced Linux (SELinux), en sikkerhedsfunktion i Android-operativsystemet. Desuden udnytter den rooting-værktøjer som KingRoot11 til at opnå forhøjede privilegier på kompromitterede mobile enheder.