WyrmSpy Mobile Malware

Produktivni nacionalni državni akter koji podržava Kina, APT41, nedavno je povezan s otkrićem dvaju prethodno nedokumentiranih vrsta Android špijunskog softvera poznatih kao WyrmSpy i DragonEgg . APT41 je poznat po svojoj stručnosti u iskorištavanju web aplikacija i infiltraciji u tradicionalne krajnje uređaje.

Proširujući svoj arsenal zlonamjernog softvera na mobilne uređaje, APT 41 jasno pokazuje važnost mobilnih krajnjih točaka kao visokovrijednih ciljeva u kojima se nalaze željeni korporativni i osobni podaci. Ovo naglašava sve veću važnost zaštite mobilnih uređaja od sofisticiranih prijetnji koje predstavljaju etablirani prijetnje kao što je APT 41.

WyrmSpy možda već godinama koriste kibernetički kriminalci

Skupina za kibernetički kriminal APT41, također poznata pod raznim imenima kao što su Axiom, Blackfly, Brass Typhoon (bivši Barium), Bronze Atlas, HOODOO, Wicked Panda i Winnti, djeluje najmanje od 2007., pokazujući postojanu prisutnost u kibernetičkom okruženju. Ovaj sofisticirani akter prijetnje ciljao je na različite industrije s ciljem provođenja intelektualnog vlasništva i osjetljivih informacija.

Nedavno je APT41 bio odgovoran za pokretanje napada koristeći crveni timski alat otvorenog koda pod nazivom Google Command and Control (GC2). Ovi napadi bili su posebno usmjereni na medije i platforme za zapošljavanje u Tajvanu i Italiji, demonstrirajući stalno razvijajuće taktike i ciljeve kolektiva.

Što se tiče njihove kampanje mobilnog nadzora, točna metoda početnog upada ostaje neotkrivena, ali postoje sumnje o korištenju tehnika društvenog inženjeringa. WyrmSpy je prvi put otkriven još 2017., što ukazuje na produljene i kontinuirane aktivnosti grupe u mobilnom području. Naknadno je DragonEgg identificiran početkom 2021., a novi uzorci ovog zlonamjernog softvera uočeni su tek u travnju 2023., naglašavajući stalnu prijetnju koju predstavlja APT41.

Prijeteće mogućnosti pronađene u zlonamjernom softveru za Android WyrmSpy

WyrmSpy koristi prijevarne taktike prerušavajući se u zadanu sistemsku aplikaciju odgovornu za prikazivanje korisničkih obavijesti. U kasnijim varijantama zlonamjerni je softver ugrađen u aplikacije koje se predstavljaju kao videosadržaj za odrasle, Baidu Waimai i Adobe Flash. Naime, nema dokaza koji bi sugerirali da su te lažne aplikacije ikada distribuirane putem službene trgovine Google Play. Točan broj žrtava na meti WyrmSpy ostaje nepoznat.

Veza između WyrmSpy-a i APT41 postaje očita kroz njegovu upotrebu Command-and-Control (C2) poslužitelja s IP adresom 121[.]42[.]149[.]52. Ova IP adresa odgovara domeni 'vpn2.umisen[.]com' koja je prethodno bila povezana s infrastrukturom grupe APT41.

Nakon uspješne instalacije, WyrmSpy zahtijeva nametljive dozvole, dopuštajući prijetnji da izvrši sofisticirano prikupljanje podataka i aktivnosti eksfiltracije na kompromitiranom Android uređaju. Zlonamjerni softver sposoban je prikupiti osjetljive korisničke podatke, uključujući fotografije, podatke o lokaciji, SMS poruke i audio snimke.

WyrmSpy je također pokazao svoju prilagodljivost korištenjem modula koji se preuzimaju s C2 poslužitelja. Ovaj pristup omogućuje zlonamjernom softveru da poboljša svoje mogućnosti prikupljanja podataka, a da pritom izbjegne otkrivanje.

Dodatno, WyrmSpy prikazuje napredne funkcionalnosti jer može onemogućiti Sigurnosno poboljšani Linux (SELinux), sigurnosnu značajku unutar operativnog sustava Android. Nadalje, iskorištava alate za rootanje kao što je KingRoot11 za dobivanje povišenih privilegija na kompromitiranim mobilnim uređajima.