بدافزار WyrmSpy Mobile

بازیگر پرکار دولت-ملت تحت حمایت چین، APT41، اخیراً با کشف دو گونه از نرم افزارهای جاسوسی اندروید که قبلاً مستند نشده بودند، به نام WyrmSpy و DragonEgg مرتبط شده است. APT41 به دلیل تخصص خود در بهره برداری از برنامه های کاربردی وب و نفوذ به دستگاه های نقطه پایانی سنتی مشهور است.

APT 41 با گسترش زرادخانه بدافزار خود به دستگاه‌های تلفن همراه، اهمیت نقاط پایانی تلفن همراه را به‌عنوان اهداف با ارزشی که داده‌های شرکتی و شخصی مورد علاقه را در خود جای می‌دهند، به وضوح نشان می‌دهد. این امر اهمیت فزاینده ایمن سازی دستگاه های تلفن همراه در برابر تهدیدات پیچیده ای را که توسط عوامل تهدید شناخته شده مانند APT 41 ایجاد می شود، برجسته می کند.

WyrmSpy ممکن است سال ها توسط مجرمان سایبری استفاده شده باشد

سازمان جرایم سایبری APT41، که با نام‌های مختلفی مانند Axiom، Blackfly، Brass Typhoon (باریوم سابق)، برنز اطلس، HOODOO، Wicked Panda و Winnti نیز شناخته می‌شود، حداقل از سال 2007 فعالیت می‌کند و حضوری مداوم در چشم‌انداز سایبری نشان می‌دهد. این بازیگر پیچیده تهدید، صنایع مختلف را با هدف انجام مالکیت معنوی و اطلاعات حساس هدف قرار داده است.

در زمان‌های اخیر، APT41 مسئول راه‌اندازی حملات با استفاده از ابزار تیمی قرمز منبع باز به نام Google Command and Control (GC2) بوده است. این حملات به طور خاص به رسانه‌ها و پلتفرم‌های شغلی در تایوان و ایتالیا انجام شد و تاکتیک‌ها و اهداف در حال تکامل این گروه را نشان داد.

در مورد کمپین نظارت بر موبایل آنها، روش دقیق نفوذ اولیه فاش نشده است، اما سوء ظن هایی در مورد استفاده از تکنیک های مهندسی اجتماعی وجود دارد. WyrmSpy اولین بار در اوایل سال 2017 شناسایی شد که نشان دهنده فعالیت طولانی و مستمر این گروه در حوزه تلفن همراه است. متعاقباً، DragonEgg در ابتدای سال 2021 شناسایی شد و نمونه‌های جدیدی از این بدافزار تا آوریل 2023 مشاهده شد که بر تهدید مداوم ناشی از APT41 تأکید می‌کرد.

قابلیت های تهدید آمیز موجود در بدافزار اندروید WyrmSpy

WyrmSpy با پنهان کردن خود به عنوان یک برنامه پیش‌فرض سیستمی که مسئول نمایش اعلان‌های کاربر است، از تاکتیک‌های فریبنده استفاده می‌کند. در تغییرات بعدی، این بدافزار در برنامه هایی که به عنوان محتوای ویدیویی بزرگسالان ظاهر می شوند، Baidu Waimai و Adobe Flash تعبیه شده است. قابل ذکر است، هیچ مدرکی وجود ندارد که نشان دهد این برنامه های سرکش تا کنون از طریق فروشگاه رسمی Google Play توزیع شده اند. تعداد دقیق قربانیان هدف WyrmSpy هنوز مشخص نیست.

ارتباط بین WyrmSpy و APT41 از طریق استفاده از سرور Command-and-Control (C2) با آدرس IP 121[.]42[.]149[.]52 آشکار می شود. این آدرس IP مربوط به دامنه "vpn2.umisen[.]com" است که قبلاً با زیرساخت گروه APT41 مرتبط شده است.

پس از نصب موفقیت آمیز، WyrmSpy مجوزهای نفوذی را درخواست می کند، که به تهدید اجازه می دهد تا فعالیت های پیچیده جمع آوری داده ها و استخراج داده ها را در دستگاه اندرویدی در معرض خطر اجرا کند. این بدافزار می‌تواند اطلاعات حساس کاربر از جمله عکس‌ها، داده‌های موقعیت مکانی، پیام‌های SMS و ضبط‌های صوتی را جمع‌آوری کند.

WyrmSpy همچنین با استفاده از ماژول هایی که از سرور C2 دانلود می شوند، سازگاری خود را نشان داده است. این رویکرد به بدافزار اجازه می‌دهد تا قابلیت‌های جمع‌آوری داده‌های خود را در حالی که از شناسایی فرار می‌کند، افزایش دهد.

علاوه بر این، WyrmSpy عملکردهای پیشرفته ای را نمایش می دهد، زیرا می تواند لینوکس پیشرفته امنیتی (SELinux)، یک ویژگی امنیتی در سیستم عامل اندروید را غیرفعال کند. علاوه بر این، از ابزارهای روت مانند KingRoot11 برای به دست آوردن امتیازات بالا در دستگاه های تلفن همراه در معرض خطر سوء استفاده می کند.