WyrmSpy Mobile -haittaohjelma

Tuottelias Kiinan tukema kansallisvaltion toimija, APT41, on äskettäin liitetty kahden aiemmin dokumentoimattoman Android-vakoiluohjelman, WyrmSpy- ja DragonEgg -nimillä, löytämiseen. APT41 on tunnettu asiantuntemuksestaan verkkoon suuntautuvien sovellusten hyödyntämisessä ja perinteisten päätelaitteiden tunkeutumisessa.

Laajentamalla haittaohjelmien arsenaaliaan mobiililaitteisiin APT 41 osoittaa selvästi mobiilipäätepisteiden merkityksen arvokkaina kohteina, jotka sisältävät haluttuja yritys- ja henkilötietoja. Tämä korostaa mobiililaitteiden turvaamisen kasvavaa merkitystä vakiintuneiden uhkatoimijoiden, kuten APT 41:n, aiheuttamilta kehittyneiltä uhilta.

WyrmSpy on saattanut olla kyberrikollisten käytössä vuosia

Kyberrikollisuusasu APT41, joka tunnetaan myös useilla nimillä, kuten Axiom, Blackfly, Brass Typhoon (entinen Barium), Bronze Atlas, HOODOO, Wicked Panda ja Winnti, on toiminut ainakin vuodesta 2007, ja se on näyttänyt jatkuvaa läsnäoloa kybermaisemassa. Tämä hienostunut uhkatoimija on kohdistanut kohteensa eri toimialoille immateriaalioikeuksien ja arkaluonteisten tietojen välittämiseksi.

Viime aikoina APT41 on vastannut hyökkäysten käynnistämisestä käyttämällä avoimen lähdekoodin punaista tiimityötyökalua nimeltä Google Command and Control (GC2). Nämä hyökkäykset kohdistuivat erityisesti Taiwanin ja Italian tiedotusvälineisiin ja työpaikkoihin, mikä osoitti kollektiivin jatkuvasti kehittyvää taktiikkaa ja tavoitteita.

Mitä tulee heidän mobiilivalvontaohjelmistokampanjaansa, tarkkaa tapaa, jolla ensimmäinen tunkeutuminen tapahtui, ei julkistettu, mutta sosiaalisten manipulointitekniikoiden käytöstä on epäilyksiä. WyrmSpy havaittiin ensimmäisen kerran jo vuonna 2017, mikä osoittaa ryhmän pitkittyneen ja jatkuvan toiminnan mobiilimaailmassa. Myöhemmin DragonEgg tunnistettiin vuoden 2021 alussa, ja uusia näytteitä tästä haittaohjelmasta havaittiin vielä huhtikuussa 2023, mikä korosti APT41:n aiheuttamaa jatkuvaa uhkaa.

WyrmSpy Android -haittaohjelmasta löydetyt uhkaavat ominaisuudet

WyrmSpy käyttää petollista taktiikkaa naamioitumalla oletusarvoiseksi järjestelmäsovellukseksi, joka vastaa käyttäjäilmoitusten näyttämisestä. Myöhemmissä muunnelmissa haittaohjelma on upotettu aikuisviihdesisällöksi esittäviin sovelluksiin, Baidu Waimaiiin ja Adobe Flashiin. Erityisesti ei ole todisteita siitä, että näitä roistosovelluksia olisi koskaan jaettu virallisen Google Play Kaupan kautta. WyrmSpyn kohteena olevien uhrien tarkkaa määrää ei tiedetä.

Yhteys WyrmSpyn ja APT41:n välillä käy ilmi, kun se käyttää Command-and-Control (C2) -palvelinta, jonka IP-osoite on 121[.]42[.]149[.]52. Tämä IP-osoite vastaa verkkotunnusta "vpn2.umisen[.]com", joka on aiemmin liitetty APT41-ryhmän infrastruktuuriin.

Kun WyrmSpy on asennettu onnistuneesti, se pyytää häiritseviä käyttöoikeuksia, jolloin uhka voi suorittaa kehittyneitä tiedonkeruu- ja suodatustoimintoja vaarantuneella Android-laitteella. Haittaohjelma pystyy keräämään arkaluontoisia käyttäjätietoja, kuten valokuvia, sijaintitietoja, tekstiviestejä ja äänitallenteita.

WyrmSpy on myös osoittanut mukautumiskykynsä käyttämällä C2-palvelimelta ladattavia moduuleja. Tämän lähestymistavan avulla haittaohjelmat voivat parantaa tiedonkeruukykyään ja välttää havaitsemista.

Lisäksi WyrmSpy näyttää edistyneitä toimintoja, koska se voi poistaa käytöstä Security-Enhanced Linuxin (SELinux), suojausominaisuuden Android-käyttöjärjestelmässä. Lisäksi se hyödyntää juurrutustyökaluja, kuten KingRoot11, saadakseen korkeammat oikeudet vaarantuneissa mobiililaitteissa.