Malware mobile WyrmSpy

Il prolifico attore dello stato-nazione sostenuto dalla Cina, APT41, è stato recentemente collegato alla scoperta di due ceppi precedentemente non documentati di spyware Android noti come WyrmSpy e DragonEgg . APT41 è rinomato per la sua esperienza nello sfruttamento delle applicazioni rivolte al Web e nell'infiltrazione nei dispositivi endpoint tradizionali.

Espandendo il suo arsenale di malware per includere i dispositivi mobili, APT 41 dimostra chiaramente l'importanza degli endpoint mobili come obiettivi di alto valore che ospitano ambiti dati aziendali e personali. Ciò evidenzia la crescente importanza di proteggere i dispositivi mobili da minacce sofisticate poste da attori di minacce affermati come APT 41.

WyrmSpy potrebbe essere stato utilizzato dai criminali informatici per anni

Il gruppo criminale informatico APT41, riconosciuto anche con vari nomi come Axiom, Blackfly, Brass Typhoon (precedentemente Bario), Bronze Atlas, HOODOO, Wicked Panda e Winnti, opera almeno dal 2007, mostrando una presenza persistente nel panorama informatico. Questo sofisticato attore di minacce ha preso di mira vari settori con l'obiettivo di condurre proprietà intellettuale e informazioni sensibili.

In tempi recenti, APT41 è stato responsabile del lancio di attacchi utilizzando uno strumento di Red Teaming open source chiamato Google Command and Control (GC2). Questi attacchi sono stati specificamente diretti ai media e alle piattaforme di lavoro a Taiwan e in Italia, a dimostrazione delle tattiche e degli obiettivi in continua evoluzione del collettivo.

Per quanto riguarda la loro campagna di sorveglianza mobile, il metodo esatto dell'intrusione iniziale rimane segreto, ma si sospetta l'uso di tecniche di ingegneria sociale. WyrmSpy è stato rilevato per la prima volta già nel 2017, indicando le attività prolungate e continue del gruppo nel regno mobile. Successivamente, DragonEgg è stato identificato all'inizio del 2021 e nuovi campioni di questo malware sono stati osservati solo nell'aprile 2023, sottolineando la continua minaccia rappresentata da APT41.

Le capacità minacciose trovate nel malware Android WyrmSpy

WyrmSpy impiega tattiche ingannevoli camuffandosi come un'applicazione di sistema predefinita responsabile della visualizzazione delle notifiche degli utenti. Nelle varianti successive, il malware è stato incorporato in applicazioni che si presentano come contenuti video per adulti, Baidu Waimai e Adobe Flash. In particolare, non ci sono prove che suggeriscano che queste app canaglia siano mai state distribuite tramite il Google Play Store ufficiale. Il numero esatto delle vittime prese di mira da WyrmSpy rimane sconosciuto.

La connessione tra WyrmSpy e APT41 diventa evidente attraverso l'utilizzo di un server Command-and-Control (C2) con l'indirizzo IP 121[.]42[.]149[.]52. Questo indirizzo IP corrisponde al dominio 'vpn2.umisen[.]com' precedentemente associato all'infrastruttura del gruppo APT41.

Una volta installato correttamente, WyrmSpy richiede autorizzazioni intrusive, consentendo alla minaccia di eseguire sofisticate attività di raccolta e esfiltrazione di dati sul dispositivo Android compromesso. Il malware è in grado di raccogliere informazioni sensibili dell'utente, tra cui foto, dati sulla posizione, messaggi SMS e registrazioni audio.

WyrmSpy ha anche dimostrato la sua adattabilità utilizzando moduli scaricati da un server C2. Questo approccio consente al malware di migliorare le sue capacità di raccolta dei dati eludendo il rilevamento.

Inoltre, WyrmSpy mostra funzionalità avanzate, in quanto può disabilitare Security-Enhanced Linux (SELinux), una funzione di sicurezza all'interno del sistema operativo Android. Inoltre, sfrutta strumenti di rooting come KingRoot11 per ottenere privilegi elevati su dispositivi mobili compromessi.