WyrmSpy Mobile Malware
Ο παραγωγικός ηθοποιός του έθνους-κράτους που υποστηρίζεται από την Κίνα, APT41, συνδέθηκε πρόσφατα με την ανακάλυψη δύο προηγουμένως μη τεκμηριωμένων στελεχών spyware Android γνωστών ως WyrmSpy και DragonEgg . Το APT41 είναι γνωστό για την τεχνογνωσία του στην εκμετάλλευση εφαρμογών που αντιμετωπίζουν τον ιστό και τη διείσδυση σε παραδοσιακές συσκευές τελικού σημείου.
Επεκτείνοντας το οπλοστάσιο κακόβουλου λογισμικού για να συμπεριλάβει κινητές συσκευές, το APT 41 καταδεικνύει ξεκάθαρα τη σημασία των τερματικών σημείων για κινητά ως στόχους υψηλής αξίας που φιλοξενούν πολυπόθητα εταιρικά και προσωπικά δεδομένα. Αυτό υπογραμμίζει την αυξανόμενη σημασία της ασφάλειας των κινητών συσκευών έναντι εξελιγμένων απειλών που προέρχονται από καθιερωμένους παράγοντες απειλών όπως το APT 41.
Το WyrmSpy μπορεί να έχει χρησιμοποιηθεί από κυβερνοεγκληματίες εδώ και χρόνια
Η στολή για το έγκλημα στον κυβερνοχώρο APT41, αναγνωρισμένη επίσης με διάφορα ονόματα όπως Axiom, Blackfly, Brass Typhoon (πρώην Barium), Bronze Atlas, HOODOO, Wicked Panda και Winnti, λειτουργεί τουλάχιστον από το 2007, επιδεικνύοντας επίμονη παρουσία στο τοπίο του κυβερνοχώρου. Αυτός ο εξελιγμένος παράγοντας απειλών στοχεύει διάφορες βιομηχανίες με στόχο τη διεξαγωγή πνευματικής ιδιοκτησίας και ευαίσθητων πληροφοριών.
Τον τελευταίο καιρό, το APT41 ήταν υπεύθυνο για την εκτόξευση επιθέσεων χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα κόκκινου ομαδοποίησης που ονομάζεται Google Command and Control (GC2). Αυτές οι επιθέσεις στράφηκαν ειδικά σε ΜΜΕ και πλατφόρμες εργασίας στην Ταϊβάν και την Ιταλία, καταδεικνύοντας τις διαρκώς εξελισσόμενες τακτικές και τους στόχους της συλλογικότητας.
Όσον αφορά την εκστρατεία τους για κινητά συστήματα επιτήρησης, η ακριβής μέθοδος αρχικής εισβολής παραμένει άγνωστη, αλλά υπάρχουν υποψίες για χρήση τεχνικών κοινωνικής μηχανικής. Το WyrmSpy εντοπίστηκε για πρώτη φορά ήδη από το 2017, υποδεικνύοντας τις παρατεταμένες και συνεχιζόμενες δραστηριότητες της ομάδας στον τομέα των κινητών. Στη συνέχεια, το DragonEgg εντοπίστηκε στις αρχές του 2021 και νέα δείγματα αυτού του κακόβουλου λογισμικού παρατηρήθηκαν μόλις τον Απρίλιο του 2023, δίνοντας έμφαση στη συνεχιζόμενη απειλή που θέτει το APT41.
Οι απειλητικές δυνατότητες που βρέθηκαν στο κακόβουλο λογισμικό Android WyrmSpy
Το WyrmSpy χρησιμοποιεί παραπλανητικές τακτικές μεταμφιέζοντας τον εαυτό του ως προεπιλεγμένη εφαρμογή συστήματος που είναι υπεύθυνη για την εμφάνιση ειδοποιήσεων χρηστών. Σε μεταγενέστερες παραλλαγές, το κακόβουλο λογισμικό έχει ενσωματωθεί σε εφαρμογές που παρουσιάζουν περιεχόμενο βίντεο για ενηλίκους, Baidu Waimai και Adobe Flash. Σημειωτέον, δεν υπάρχουν στοιχεία που να υποδηλώνουν ότι αυτές οι αδίστακτες εφαρμογές διανεμήθηκαν ποτέ μέσω του επίσημου Google Play Store. Ο ακριβής αριθμός των θυμάτων που στοχεύει η WyrmSpy παραμένει άγνωστος.
Η σύνδεση μεταξύ WyrmSpy και APT41 γίνεται εμφανής μέσω της χρήσης ενός διακομιστή Command-and-Control (C2) με τη διεύθυνση IP 121[.]42[.]149[.]52. Αυτή η διεύθυνση IP αντιστοιχεί στον τομέα 'vpn2.umisen[.]com' που έχει συσχετιστεί προηγουμένως με την υποδομή της ομάδας APT41.
Μόλις εγκατασταθεί επιτυχώς, το WyrmSpy ζητά παρεμβατικές άδειες, επιτρέποντας στην απειλή να εκτελέσει εξελιγμένες δραστηριότητες συλλογής δεδομένων και διείσδυσης στην παραβιασμένη συσκευή Android. Το κακόβουλο λογισμικό είναι σε θέση να συλλέγει ευαίσθητες πληροφορίες χρήστη, συμπεριλαμβανομένων φωτογραφιών, δεδομένων τοποθεσίας, μηνυμάτων SMS και εγγραφών ήχου.
Το WyrmSpy έχει επίσης αποδείξει την προσαρμοστικότητά του χρησιμοποιώντας ενότητες που λαμβάνονται από έναν διακομιστή C2. Αυτή η προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να βελτιώσει τις δυνατότητες συλλογής δεδομένων του, αποφεύγοντας τον εντοπισμό.
Επιπλέον, το WyrmSpy εμφανίζει προηγμένες λειτουργίες, καθώς μπορεί να απενεργοποιήσει το Linux-Enhanced Security (SELinux), μια δυνατότητα ασφαλείας στο λειτουργικό σύστημα Android. Επιπλέον, εκμεταλλεύεται εργαλεία rooting όπως το KingRoot11 για να αποκτήσει αυξημένα προνόμια σε παραβιασμένες κινητές συσκευές.
