بدافزار موبایل DragonEgg
به گفته محققان امنیتی، یک گروه جاسوسی تحت حمایت دولت چین با نام APT41 که با نام های مستعار دیگری مانند Barium، Earth Baku و Winnti نیز شناخته می شود، به طور فعال از WyrmSpy و بدافزار جاسوسی DragonEgg برای هدف قرار دادن دستگاه های تلفن همراه اندروید استفاده می کند. در حالی که APT41 سابقه تکیه بر حملات برنامه های وب و آسیب پذیری های نرم افزاری برای هدف قرار دادن سازمان ها در سرتاسر جهان را دارد، اخیراً تاکتیک های خود را برای توسعه بدافزارهای متناسب با سیستم عامل اندروید تغییر داده است.
در این رویکرد جدید، APT41 از زیرساختهای Command-and-Control، آدرسهای IP و دامنههای موجود خود برای برقراری ارتباط و کنترل دو نوع بدافزار WyrmSpy و DragonEgg، که بهطور خاص برای دستگاههای اندرویدی طراحی شدهاند، استفاده میکند. این تغییر استراتژیک، سازگاری و تمایل این گروه برای بهرهبرداری از پلتفرمهای تلفن همراه در کمپینهای جاسوسی خود را نشان میدهد و یک چشمانداز تهدید در حال تکامل را برای سازمانها در سطح جهانی ارائه میکند.
APT41 در حال گسترش زرادخانه ابزارهای تهدیدکننده خود است
APT41 احتمالاً از تاکتیکهای مهندسی اجتماعی برای توزیع تهدیدات جاسوسافزار WyrmSpy و DragonEgg در دستگاههای Android استفاده میکند. آنها این کار را با پنهان کردن WyrmSpy به عنوان یک برنامه پیشفرض سیستم اندروید و DragonEgg بهعنوان صفحهکلید و برنامههای پیامرسان اندروید شخص ثالث، از جمله پلتفرمهای محبوب مانند تلگرام، انجام دادند. در حال حاضر، مشخص نیست که آیا توزیع این دو نوع بدافزار از طریق فروشگاه رسمی Google Play یا از طریق فایلهای apk. از منابع دیگر رخ داده است.
نکته قابل توجه استفاده گروه از گواهی های امضای مشابه اندروید برای WyrmSpy و DragonEgg است. با این حال، تنها تکیه بر این شباهت برای تخصیص دقیق کافی نیست، زیرا گروههای تهدید چینی به اشتراکگذاری ابزارها و تکنیکهای هک معروف هستند که شناسایی را به چالش میکشد. شواهد قطعی که منجر به انتساب آنها شد، کشف این بود که زیرساخت فرماندهی و کنترل (C2) بدافزار دارای آدرس IP و دامنه وب دقیقی است که APT41 در کمپینهای متعددی از ماه مه 2014 تا آگوست 2020 استفاده کرده بود. این پیوند مهم ارتباط تهدید جاسوسافزار موبایل با APT41 را مستحکم کرد.
استفاده از تکنیکهای مهندسی اجتماعی و دستکاری برنامههای Android برای ارائه بدافزار نظارتی بر اهمیت امنیت دستگاه تلفن همراه تأکید میکند. به کاربران توصیه می شود هنگام دانلود برنامه ها از منابع غیر رسمی احتیاط کنند و از راه حل های امنیتی معتبر برای محافظت در برابر چنین حملات هدفمندی استفاده کنند. علاوه بر این، هوشیاری در برابر تلاشهای مهندسی اجتماعی و بهروزرسانی منظم نرمافزار میتواند به کاهش خطر قربانی شدن در برنامههای تهدیدآمیز مانند WyrmSpy و DragonEgg کمک کند.
DragonEgg اطلاعات حساس را از دستگاههای اندرویدی در معرض خطر قرار میدهد
DragonEgg سطح نگران کننده ای از نفوذ را نشان می دهد زیرا مجوزهای گسترده ای را هنگام نصب درخواست می کند. این بدافزار نظارتی مجهز به قابلیتهای پیشرفته جمعآوری و استخراج دادهها است. علاوه بر این، DragonEgg از یک بار ثانویه به نام smallmload.jar استفاده میکند که به بدافزار قابلیتهای بیشتری میدهد و آن را قادر میسازد تا دادههای حساس مختلف را از دستگاه آلوده خارج کند. این شامل فایل های ذخیره سازی دستگاه، عکس ها، مخاطبین، پیام ها و ضبط های صوتی است. یکی دیگر از جنبه های قابل توجه DragonEgg ارتباط آن با یک سرور Command-and-Control (C2) برای بازیابی یک ماژول سوم ناشناخته است که به عنوان یک برنامه پزشکی قانونی ظاهر می شود.
کشف WyrmSpy و DragonEgg یادآور تهدید فزاینده ای است که بدافزار پیچیده اندروید ایجاد می کند. این بستههای جاسوسافزار تهدیدی بزرگ را نشان میدهند که قادر به جمعآوری مخفیانه طیف گستردهای از دادهها از دستگاههای در معرض خطر است. همانطور که چشم انداز بدافزار پیشرفته اندروید به تکامل ادامه می دهد، هوشیاری کاربران و اتخاذ اقدامات پیشگیرانه برای محافظت از دستگاه ها و اطلاعات شخصی خود به طور فزاینده ای حیاتی می شود. استفاده از راهحلهای امنیتی معتبر، احتیاط در هنگام نصب برنامهها، و مطلع ماندن از تهدیدات نوظهور، گامهای اساسی در کاهش خطر ناشی از چنین بدافزارهای نظارتی پیشرفته هستند.