بدافزار WyrmSpy Mobile
بازیگر پرکار دولت-ملت تحت حمایت چین، APT41، اخیراً با کشف دو گونه از نرم افزارهای جاسوسی اندروید که قبلاً مستند نشده بودند، به نام WyrmSpy و DragonEgg مرتبط شده است. APT41 به دلیل تخصص خود در بهره برداری از برنامه های کاربردی وب و نفوذ به دستگاه های نقطه پایانی سنتی مشهور است.
APT 41 با گسترش زرادخانه بدافزار خود به دستگاههای تلفن همراه، اهمیت نقاط پایانی تلفن همراه را بهعنوان اهداف با ارزشی که دادههای شرکتی و شخصی مورد علاقه را در خود جای میدهند، به وضوح نشان میدهد. این امر اهمیت فزاینده ایمن سازی دستگاه های تلفن همراه در برابر تهدیدات پیچیده ای را که توسط عوامل تهدید شناخته شده مانند APT 41 ایجاد می شود، برجسته می کند.
WyrmSpy ممکن است سال ها توسط مجرمان سایبری استفاده شده باشد
سازمان جرایم سایبری APT41، که با نامهای مختلفی مانند Axiom، Blackfly، Brass Typhoon (باریوم سابق)، برنز اطلس، HOODOO، Wicked Panda و Winnti نیز شناخته میشود، حداقل از سال 2007 فعالیت میکند و حضوری مداوم در چشمانداز سایبری نشان میدهد. این بازیگر پیچیده تهدید، صنایع مختلف را با هدف انجام مالکیت معنوی و اطلاعات حساس هدف قرار داده است.
در زمانهای اخیر، APT41 مسئول راهاندازی حملات با استفاده از ابزار تیمی قرمز منبع باز به نام Google Command and Control (GC2) بوده است. این حملات به طور خاص به رسانهها و پلتفرمهای شغلی در تایوان و ایتالیا انجام شد و تاکتیکها و اهداف در حال تکامل این گروه را نشان داد.
در مورد کمپین نظارت بر موبایل آنها، روش دقیق نفوذ اولیه فاش نشده است، اما سوء ظن هایی در مورد استفاده از تکنیک های مهندسی اجتماعی وجود دارد. WyrmSpy اولین بار در اوایل سال 2017 شناسایی شد که نشان دهنده فعالیت طولانی و مستمر این گروه در حوزه تلفن همراه است. متعاقباً، DragonEgg در ابتدای سال 2021 شناسایی شد و نمونههای جدیدی از این بدافزار تا آوریل 2023 مشاهده شد که بر تهدید مداوم ناشی از APT41 تأکید میکرد.
قابلیت های تهدید آمیز موجود در بدافزار اندروید WyrmSpy
WyrmSpy با پنهان کردن خود به عنوان یک برنامه پیشفرض سیستمی که مسئول نمایش اعلانهای کاربر است، از تاکتیکهای فریبنده استفاده میکند. در تغییرات بعدی، این بدافزار در برنامه هایی که به عنوان محتوای ویدیویی بزرگسالان ظاهر می شوند، Baidu Waimai و Adobe Flash تعبیه شده است. قابل ذکر است، هیچ مدرکی وجود ندارد که نشان دهد این برنامه های سرکش تا کنون از طریق فروشگاه رسمی Google Play توزیع شده اند. تعداد دقیق قربانیان هدف WyrmSpy هنوز مشخص نیست.
ارتباط بین WyrmSpy و APT41 از طریق استفاده از سرور Command-and-Control (C2) با آدرس IP 121[.]42[.]149[.]52 آشکار می شود. این آدرس IP مربوط به دامنه "vpn2.umisen[.]com" است که قبلاً با زیرساخت گروه APT41 مرتبط شده است.
پس از نصب موفقیت آمیز، WyrmSpy مجوزهای نفوذی را درخواست می کند، که به تهدید اجازه می دهد تا فعالیت های پیچیده جمع آوری داده ها و استخراج داده ها را در دستگاه اندرویدی در معرض خطر اجرا کند. این بدافزار میتواند اطلاعات حساس کاربر از جمله عکسها، دادههای موقعیت مکانی، پیامهای SMS و ضبطهای صوتی را جمعآوری کند.
WyrmSpy همچنین با استفاده از ماژول هایی که از سرور C2 دانلود می شوند، سازگاری خود را نشان داده است. این رویکرد به بدافزار اجازه میدهد تا قابلیتهای جمعآوری دادههای خود را در حالی که از شناسایی فرار میکند، افزایش دهد.
علاوه بر این، WyrmSpy عملکردهای پیشرفته ای را نمایش می دهد، زیرا می تواند لینوکس پیشرفته امنیتی (SELinux)، یک ویژگی امنیتی در سیستم عامل اندروید را غیرفعال کند. علاوه بر این، از ابزارهای روت مانند KingRoot11 برای به دست آوردن امتیازات بالا در دستگاه های تلفن همراه در معرض خطر سوء استفاده می کند.