WyrmSpy 모바일 악성코드

중국의 지원을 받는 다작 국가 행위자 APT41은 최근 WyrmSpy 및 DragonEgg 로 알려진 이전에 문서화되지 않은 두 가지 Android 스파이웨어 변종을 발견한 것과 관련이 있습니다. APT41은 웹 대면 애플리케이션을 악용하고 기존 엔드포인트 장치에 침투하는 전문성으로 유명합니다.

APT 41은 모바일 장치를 포함하도록 맬웨어 범위를 확장함으로써 탐욕스러운 기업 및 개인 데이터를 수용하는 고가치 표적으로서 모바일 엔드포인트의 중요성을 분명히 보여줍니다. 이는 APT 41과 같은 기존 위협 행위자가 제기하는 정교한 위협으로부터 모바일 장치를 보호하는 것이 점점 더 중요해지고 있음을 강조합니다.

WyrmSpy는 수년간 사이버 범죄자들에 의해 사용되었을 수 있습니다.

Axiom, Blackfly, Brass Typhoon(이전 Barium), Bronze Atlas, HOODOO, Wicked Panda 및 Winnti와 같은 다양한 이름으로도 알려진 사이버 범죄 조직 APT41은 적어도 2007년부터 활동해 왔으며 사이버 환경에서 지속적인 존재감을 보여주고 있습니다. 이 정교한 위협 행위자는 지적 재산 및 민감한 정보를 목적으로 다양한 산업을 표적으로 삼고 있습니다.

최근 APT41은 Google Command and Control(GC2)이라는 오픈 소스 레드 팀 구성 도구를 사용하여 공격을 시작했습니다. 이러한 공격은 특히 대만과 이탈리아의 미디어 및 직업 플랫폼을 겨냥했으며, 집단의 끊임없이 진화하는 전술과 목표를 보여줍니다.

그들의 모바일 감시 소프트웨어 캠페인에 관해서는 초기 침입의 정확한 방법은 공개되지 않았지만 사회 공학 기술을 사용했다는 의혹이 있습니다. WyrmSpy는 2017년 초에 처음 발견되었으며, 이는 모바일 영역에서 그룹의 장기적이고 지속적인 활동을 나타냅니다. 그 후 DragonEgg는 2021년 초에 식별되었으며 이 악성코드의 새로운 샘플은 최근 2023년 4월까지 관찰되어 APT41에 의해 제기된 지속적인 위협을 강조했습니다.

WyrmSpy Android 맬웨어에서 발견된 위협적인 기능

WyrmSpy는 사용자 알림 표시를 담당하는 기본 시스템 응용 프로그램으로 위장하여 사기성 전술을 사용합니다. 이후 변종에서 멀웨어는 성인 비디오 콘텐츠인 Baidu Waimai 및 Adobe Flash로 위장한 애플리케이션에 내장되었습니다. 특히 이러한 불량 앱이 공식 Google Play 스토어를 통해 배포되었다는 증거는 없습니다. WyrmSpy의 표적이 된 정확한 피해자 수는 아직 알려지지 않았습니다.

WyrmSpy와 APT41 간의 연결은 IP 주소가 121[.]42[.]149[.]52인 C2(Command-and-Control) 서버를 활용함으로써 명백해집니다. 이 IP 주소는 이전에 APT41 그룹의 인프라와 연결된 'vpn2.umisen[.]com' 도메인에 해당합니다.

성공적으로 설치되면 WyrmSpy는 위협이 손상된 Android 장치에서 정교한 데이터 수집 및 유출 활동을 실행할 수 있도록 침입 권한을 요청합니다. 이 멀웨어는 사진, 위치 데이터, SMS 메시지 및 오디오 녹음을 포함한 민감한 사용자 정보를 수집할 수 있습니다.

WyrmSpy는 또한 C2 서버에서 다운로드한 모듈을 활용하여 적응성을 입증했습니다. 이 접근 방식을 통해 맬웨어는 탐지를 피하면서 데이터 수집 기능을 향상할 수 있습니다.

또한 WyrmSpy는 Android 운영 체제의 보안 기능인 SELinux(Security-Enhanced Linux)를 비활성화할 수 있으므로 고급 기능을 표시합니다. 또한 KingRoot11과 같은 루팅 도구를 악용하여 손상된 모바일 장치에서 높은 권한을 얻습니다.