WyrmSpy Mobile Malware

A Kína által támogatott termékeny nemzetállami szereplőt, az APT41-et a közelmúltban az Android spyware két, korábban nem dokumentált törzsének, a WyrmSpy-nek és a DragonEgg-nek a felfedezésével hozták kapcsolatba. Az APT41 a webes alkalmazások kihasználásában és a hagyományos végponti eszközök beszivárgásában szerzett szakértelméről híres.

A rosszindulatú programok arzenáljának mobileszközökre való kiterjesztésével az APT 41 egyértelműen demonstrálja a mobil végpontok jelentőségét, mint nagy értékű célpontok, amelyek az áhított vállalati és személyes adatokat tartalmazzák. Ez rávilágít arra, hogy egyre fontosabb a mobileszközök védelme az olyan kifinomult fenyegetésekkel szemben, amelyeket az olyan ismert fenyegetés szereplők jelentenek, mint az APT 41.

A WyrmSpy-t évek óta használták a kiberbűnözők

Az APT41 kiberbűnözés elleni szervezet, amelyet különféle nevek is ismernek, mint például az Axiom, a Blackfly, a Brass Typhoon (korábban Barium), a Bronze Atlas, a HOODOO, a Wicked Panda és a Winnti, legalább 2007 óta működik, és folyamatosan jelen van a kibervilágban. Ez a kifinomult fenyegetési szereplő különféle iparágakat célzott meg azzal a céllal, hogy szellemi tulajdont és érzékeny információkat szerezzen be.

Az utóbbi időben az APT41 volt a felelős a támadások indításáért a Google Command and Control (GC2) nevű nyílt forráskódú, vörös csapatépítő eszköz használatával. Ezek a támadások kifejezetten a tajvani és olaszországi médiák és munkaplatformok ellen irányultak, demonstrálva a kollektíva folyamatosan fejlődő taktikáját és célpontjait.

Ami a mobil felügyeleti szoftver kampányukat illeti, a kezdeti behatolás pontos módja továbbra sem ismert, de felmerül a social engineering technikák használatának gyanúja. A WyrmSpy-t először már 2017-ben észlelték, jelezve a csoport elhúzódó és folyamatos tevékenységét a mobil területen. Ezt követően 2021 elején azonosították a DragonEgg-et, és 2023 áprilisában újabb mintákat észleltek ebből a kártevőből, hangsúlyozva az APT41 által jelentett folyamatos fenyegetést.

A WyrmSpy Android rosszindulatú programban található fenyegető képességek

A WyrmSpy megtévesztő taktikát alkalmaz azáltal, hogy a felhasználói értesítések megjelenítéséért felelős alapértelmezett rendszeralkalmazásnak álcázza magát. A későbbi változatokban a kártevőt beágyazták a felnőtteknek szóló videótartalomnak tűnő alkalmazásokba, a Baidu Waimai-ba és az Adobe Flash-be. Nevezetesen, nincs bizonyíték arra, hogy ezeket a szélhámos alkalmazásokat valaha is a hivatalos Google Play Áruházban terjesztették volna. A WyrmSpy által megcélzott áldozatok pontos száma továbbra sem ismert.

A WyrmSpy és az APT41 közötti kapcsolat nyilvánvalóvá válik a 121[.]42[.]149[.]52 IP-című Command-and-Control (C2) szerver használatával. Ez az IP-cím a „vpn2.umisen[.]com” tartománynak felel meg, amelyet korábban az APT41 csoport infrastruktúrájához társítottak.

Sikeres telepítés után a WyrmSpy tolakodó engedélyeket kér, lehetővé téve a fenyegetés számára, hogy kifinomult adatgyűjtési és kiszűrési tevékenységeket hajtson végre a feltört Android-eszközön. A rosszindulatú program képes érzékeny felhasználói információkat, például fényképeket, helyadatokat, SMS-üzeneteket és hangfelvételeket begyűjteni.

A WyrmSpy a C2 szerverről letöltött modulok felhasználásával is bizonyította alkalmazkodóképességét. Ez a megközelítés lehetővé teszi a rosszindulatú program számára, hogy javítsa adatgyűjtési képességeit, miközben elkerüli az észlelést.

Ezenkívül a WyrmSpy fejlett funkciókat is megjelenít, mivel letilthatja a Security-Enhanced Linuxot (SELinux), amely az Android operációs rendszer biztonsági funkciója. Ezenkívül olyan rootoló eszközöket is kihasznál, mint a KingRoot11, hogy magasabb jogosultságokat szerezzen a veszélyeztetett mobileszközökön.