WyrmSpy mobiili pahavara

Hiina toetatud viljakat rahvusriigi näitlejat APT41 on hiljuti seostatud kahe varem dokumenteerimata Androidi nuhkvara tüve, mida tuntakse WyrmSpy ja DragonEgg nime all, avastamisega. APT41 on tuntud oma teadmiste poolest veebipõhiste rakenduste kasutamisel ja traditsioonilistesse lõpp-punkti seadmetesse tungimisel.

Laiendades oma pahavara arsenali mobiilseadmetele, demonstreerib APT 41 selgelt mobiilsete lõpp-punktide olulisust väärtuslike sihtmärkidena, mis sisaldavad ihaldatud ettevõtte- ja isikuandmeid. See rõhutab mobiilsete seadmete kaitsmise tähtsust keerukate ohtude eest, mida põhjustavad väljakujunenud ohutegurid, nagu APT 41.

Küberkurjategijad võisid WyrmSpyt kasutada juba aastaid

Küberkuritegevuse varustus APT41, mida tuntakse ka erinevate nimede all, nagu Axiom, Blackfly, Brass Typhoon (endine Barium), Bronze Atlas, HOODOO, Wicked Panda ja Winnti, on tegutsenud vähemalt 2007. aastast, ilmutades püsivat kohalolekut kübermaastikul. See kogenud ohutegija on intellektuaalomandi ja tundliku teabe haldamise eesmärgil võtnud sihikule eri tööstusharud.

Viimasel ajal on APT41 vastutanud rünnakute käivitamise eest, kasutades avatud lähtekoodiga punast meeskonnatöö tööriista nimega Google Command and Control (GC2). Need rünnakud olid suunatud konkreetselt Taiwani ja Itaalia meedia- ja tööplatvormidele, näidates kollektiivi pidevalt arenevat taktikat ja sihtmärke.

Mis puudutab nende mobiilse seirevara kampaaniat, siis esialgse sissetungi täpset meetodit ei avalikustata, kuid kahtlustatakse sotsiaalse insenertehnikate kasutamist. WyrmSpy tuvastati esmakordselt juba 2017. aastal, mis viitab grupi pikaajalisele ja jätkuvale tegevusele mobiilivaldkonnas. Seejärel tuvastati DragonEgg 2021. aasta alguses ja uusi selle pahavara näidiseid täheldati alles 2023. aasta aprillis, mis rõhutas APT41 pidevat ohtu.

WyrmSpy Androidi pahavarast leitud ähvardavad võimalused

WyrmSpy kasutab petlikku taktikat, maskeerides end vaikesüsteemirakenduseks, mis vastutab kasutajate teadete kuvamise eest. Hilisemates versioonides on pahavara manustatud rakendustesse, mis kujutavad endast täiskasvanutele mõeldud videosisu, Baidu Waimai ja Adobe Flash. Eelkõige pole tõendeid selle kohta, et neid petturlikke rakendusi oleks kunagi ametliku Google Play poe kaudu levitatud. WyrmSpy sihikule langenud ohvrite täpne arv on teadmata.

Seos WyrmSpy ja APT41 vahel ilmneb käsu-ja juhtimisserveri (C2) kasutamise kaudu IP-aadressiga 121[.]42[.]149[.]52. See IP-aadress vastab domeenile „vpn2.umisen[.]com”, mis on varem seotud APT41 grupi infrastruktuuriga.

Pärast edukat installimist taotleb WyrmSpy pealetükkivaid õigusi, võimaldades ohul teostada keerulisi andmete kogumise ja väljafiltreerimise tegevusi ohustatud Android-seadmes. Pahavara on võimeline koguma tundlikku kasutajateavet, sealhulgas fotosid, asukohaandmeid, SMS-sõnumeid ja helisalvestisi.

WyrmSpy on näidanud ka oma kohanemisvõimet, kasutades mooduleid, mis laaditakse alla C2 serverist. See lähenemisviis võimaldab pahavaral parandada oma andmete kogumise võimalusi, vältides samas tuvastamist.

Lisaks kuvab WyrmSpy täiustatud funktsioone, kuna see võib keelata turvalisusega Linuxi (SELinux), Androidi operatsioonisüsteemi turvafunktsiooni. Lisaks kasutab see juurdumistööriistu, nagu KingRoot11, et saada kõrgendatud õigusi ohustatud mobiilseadmetes.