תוכנה זדונית לנייד של WyrmSpy

השחקן הפורה בגיבוי סין, APT41, נקשר לאחרונה לגילוי של שני זנים לא מתועדים בעבר של תוכנות ריגול אנדרואיד הידועות בשם WyrmSpy ו- DragonEgg . APT41 ידועה במומחיות שלה בניצול יישומים הפונים לאינטרנט וחדירת התקני קצה מסורתיים.

על ידי הרחבת ארסנל התוכנות הזדוניות שלה לכלול מכשירים ניידים, APT 41 מדגים בבירור את המשמעות של נקודות קצה לנייד כיעדים בעלי ערך גבוה המכילים נתונים ארגוניים ואישיים נחשקים. זה מדגיש את החשיבות הגוברת של אבטחת מכשירים ניידים מפני איומים מתוחכמים שמציבים גורמי איומים מבוססים כמו APT 41.

ייתכן ש- WyrmSpy נמצא בשימוש על ידי פושעי סייבר במשך שנים

תלבושת פשעי הסייבר APT41, המוכרת גם בשמות שונים כמו Axiom, Blackfly, Brass Typhoon (לשעבר בריום), ברונזה אטלס, HOODOO, Wicked Panda ו-Winnti, פועלת מאז 2007 לפחות, ומציגה נוכחות מתמשכת בנוף הסייבר. שחקן איום מתוחכם זה פנה לתעשיות שונות במטרה לנהל קניין רוחני ומידע רגיש.

בתקופה האחרונה, APT41 הייתה אחראית להפעלת התקפות באמצעות כלי צוות אדום בקוד פתוח בשם Google Command and Control (GC2). התקפות אלו כוונו במיוחד לפלטפורמות תקשורת ועבודה בטייוואן ובאיטליה, והדגימו את הטקטיקות והיעדים המתפתחים כל הזמן של הקולקטיב.

באשר לקמפיין כלי המעקב הנייד שלהם, השיטה המדויקת של החדירה הראשונית נותרה לא ידועה, אך ישנם חשדות לשימוש בטכניקות הנדסה חברתית. WyrmSpy זוהה לראשונה כבר ב-2017, מה שמעיד על פעילות ממושכת ומתמשכת של הקבוצה בתחום המובייל. לאחר מכן, DragonEgg זוהה בתחילת 2021, ודגימות חדשות של תוכנה זדונית זו נצפו לאחרונה באפריל 2023, תוך שימת דגש על האיום המתמשך שמציב APT41.

היכולות המאיימות שנמצאו בתוכנה הזדונית של WyrmSpy Android

WyrmSpy נוקטת טקטיקות מטעה בכך שהיא מתחזה לאפליקציית מערכת ברירת מחדל האחראית להצגת הודעות משתמשים. בווריאציות מאוחרות יותר, התוכנה הזדונית הוטבעה באפליקציות המתחזות לתוכן וידאו למבוגרים, Baidu Waimai ו-Adobe Flash. יש לציין כי אין ראיות המצביעות על כך שהאפליקציות הנוכלות הללו הופצו אי פעם דרך חנות Google Play הרשמית. מספר הקורבנות המדויק ש-WirmSpy ממוקד עדיין לא ידוע.

הקשר בין WyrmSpy ל-APT41 מתגלה באמצעות השימוש שלו בשרת Command-and-Control (C2) עם כתובת ה-IP 121[.]42[.]149[.]52. כתובת IP זו מתאימה לדומיין 'vpn2.umisen[.]com' ששייך בעבר לתשתית של קבוצת APT41.

לאחר ההתקנה בהצלחה, WyrmSpy מבקש הרשאות פולשניות, מה שמאפשר לאיום לבצע פעילויות מתוחכמות של איסוף נתונים וסינון במכשיר האנדרואיד שנפגע. התוכנה הזדונית מסוגלת לאסוף מידע משתמש רגיש, כולל תמונות, נתוני מיקום, הודעות SMS והקלטות אודיו.

WyrmSpy גם הוכיחה את יכולת ההסתגלות שלה על ידי שימוש במודולים שהורדו משרת C2. גישה זו מאפשרת לתוכנה הזדונית לשפר את יכולות איסוף הנתונים שלה תוך התחמקות מזיהוי.

בנוסף, WyrmSpy מציגה פונקציות מתקדמות, מכיוון שהיא יכולה להשבית את Linux משופרת באבטחה (SELinux), תכונת אבטחה במערכת ההפעלה אנדרואיד. יתר על כן, הוא מנצל כלי רוטציה כמו KingRoot11 כדי להשיג הרשאות גבוהות במכשירים ניידים שנפגעו.