Malware Mobile DragonEgg

Secondo i ricercatori di sicurezza, un gruppo di spionaggio sponsorizzato dallo stato cinese identificato come APT41, noto anche con altri alias come Barium, Earth Baku e Winnti, ha impiegato attivamente WyrmSpy e il malware spyware DragonEgg per prendere di mira i dispositivi mobili Android. Sebbene APT41 abbia una storia di affidamento su attacchi alle applicazioni Web e vulnerabilità del software per colpire organizzazioni in tutto il mondo, ha recentemente modificato le sue tattiche per sviluppare malware su misura per il sistema operativo Android.

In questo nuovo approccio, APT41 utilizza l'infrastruttura Command-and-Control, gli indirizzi IP e i domini esistenti per comunicare e controllare le due varianti di malware, WyrmSpy e DragonEgg, specificamente progettate per i dispositivi Android. Questo cambiamento strategico mette in mostra l'adattabilità e la volontà del gruppo di sfruttare le piattaforme mobili nelle sue campagne di spionaggio, presentando un panorama di minacce in evoluzione per le organizzazioni a livello globale.

APT41 sta espandendo il suo minaccioso arsenale di strumenti

APT41 probabilmente ha utilizzato tattiche di ingegneria sociale per distribuire le minacce spyware WyrmSpy e DragonEgg ai dispositivi Android. Ci sono riusciti mascherando WyrmSpy come un'applicazione di sistema Android predefinita e DragonEgg come tastiere e applicazioni di messaggistica Android di terze parti, comprese piattaforme popolari come Telegram. Al momento, non è chiaro se la distribuzione di questi due tipi di malware sia avvenuta attraverso il Google Play Store ufficiale o tramite file .apk da altre fonti.

Un punto di interesse significativo è l'uso da parte del gruppo di certificati di firma Android simili sia per WyrmSpy che per DragonEgg. Tuttavia, affidarsi esclusivamente a questa somiglianza non è sufficiente per un'attribuzione precisa, poiché è noto che i gruppi di minacce cinesi condividono strumenti e tecniche di hacking, rendendo difficile l'identificazione. La prova conclusiva che ha portato alla loro attribuzione è stata la scoperta che l'infrastruttura di comando e controllo (C2) del malware presentava l'indirizzo IP e il dominio Web esatti che APT41 aveva utilizzato in più campagne da maggio 2014 ad agosto 2020. Questo collegamento cruciale ha consolidato l'associazione dello spyware mobile con l'autore della minaccia APT41.

L'uso di tecniche di ingegneria sociale e la manipolazione delle applicazioni Android per fornire malware di sorveglianza sottolinea l'importanza della sicurezza dei dispositivi mobili. Si consiglia agli utenti di prestare attenzione durante il download di applicazioni da fonti non ufficiali e di utilizzare soluzioni di sicurezza affidabili per proteggersi da tali attacchi mirati. Inoltre, rimanere vigili contro i tentativi di ingegneria sociale e aggiornare regolarmente il software può aiutare a mitigare il rischio di cadere vittima di applicazioni minacciose come WyrmSpy e DragonEgg.

DragonEgg sottrae informazioni sensibili da dispositivi Android compromessi

DragonEgg mostra un livello preoccupante di invadenza poiché richiede autorizzazioni estese al momento dell'installazione. Questo malware di sorveglianza è dotato di funzionalità avanzate di raccolta dati ed esfiltrazione. Inoltre, DragonEgg sfrutta un payload secondario chiamato smallmload.jar, che garantisce al malware ulteriori funzionalità, consentendogli di esfiltrare vari dati sensibili dal dispositivo infetto. Ciò include file di archiviazione del dispositivo, foto, contatti, messaggi e registrazioni audio. Un altro aspetto degno di nota di DragonEgg è la sua comunicazione con un server Command-and-Control (C2) per recuperare un modulo terziario sconosciuto che si maschera da programma forense.

La scoperta di WyrmSpy e DragonEgg funge da toccante promemoria della crescente minaccia rappresentata dal sofisticato malware Android. Questi pacchetti spyware rappresentano una formidabile minaccia, in grado di raccogliere furtivamente un'ampia gamma di dati dai dispositivi compromessi. Man mano che il panorama del malware Android avanzato continua a evolversi, diventa sempre più cruciale per gli utenti stare all'erta e adottare misure proattive per salvaguardare i propri dispositivi e le informazioni personali. L'utilizzo di soluzioni di sicurezza affidabili, la cautela durante l'installazione delle applicazioni e il rimanere informati sulle minacce emergenti sono passaggi essenziali per mitigare il rischio rappresentato da tale malware di sorveglianza avanzato.