„WyrmSpy Mobile“ kenkėjiška programa

Produktyvus Kinijos remiamas nacionalinės valstybės veikėjas APT41 neseniai buvo susietas su dviejų anksčiau nedokumentuotų „Android“ šnipinėjimo programų, žinomų kaip WyrmSpy ir DragonEgg , atradimu. APT41 yra žinomas dėl savo patirties naudojant žiniatinklio programas ir įsiskverbti į tradicinius galutinio taško įrenginius.

Išplėsdamas savo kenkėjiškų programų arsenalą įtraukdamas mobiliuosius įrenginius, APT 41 aiškiai parodo mobiliųjų galinių taškų, kaip didelės vertės objektų, kuriuose saugomi trokštami įmonės ir asmens duomenys, svarbą. Tai pabrėžia didėjančią mobiliųjų įrenginių apsaugos nuo sudėtingų grėsmių, kurias kelia žinomi grėsmės subjektai, pvz., APT 41, svarbą.

„WyrmSpy“ kibernetiniai nusikaltėliai galėjo naudoti daugelį metų

Kibernetinių nusikaltimų apranga APT41, taip pat žinoma įvairiais pavadinimais, tokiais kaip Axiom, Blackfly, Brass Typhoon (anksčiau Barium), Bronze Atlas, HOODOO, Wicked Panda ir Winnti, veikia mažiausiai nuo 2007 m., demonstruodama nuolatinį buvimą kibernetinėje aplinkoje. Šis sudėtingas grėsmių veikėjas nusitaikė į įvairias pramonės šakas, siekdamas valdyti intelektinę nuosavybę ir slaptą informaciją.

Pastaruoju metu APT41 buvo atsakinga už atakų pradžią, naudodama atvirojo kodo raudonąjį komandos įrankį, vadinamą „Google Command and Control“ (GC2). Šios atakos buvo konkrečiai nukreiptos į Taivano ir Italijos žiniasklaidą ir darbo platformas, demonstruodamos nuolat besikeičiančią kolektyvo taktiką ir tikslus.

Kalbant apie jų mobiliojo stebėjimo programinės įrangos kampaniją, tikslus pradinio įsibrovimo metodas lieka neatskleistas, tačiau kyla įtarimų dėl socialinės inžinerijos metodų naudojimo. „WyrmSpy“ pirmą kartą buvo aptiktas dar 2017 m., o tai rodo užsitęsusią ir nuolatinę grupės veiklą mobiliųjų įrenginių srityje. Vėliau DragonEgg buvo identifikuotas 2021 m. pradžioje, o nauji šios kenkėjiškos programos pavyzdžiai buvo pastebėti dar 2023 m. balandžio mėn., pabrėžiant nuolatinę APT41 keliamą grėsmę.

„WyrmSpy Android“ kenkėjiškoje programoje aptiktos grėsmingos galimybės

WyrmSpy taiko apgaulingą taktiką, prisidengdama kaip numatytoji sistemos programa, atsakinga už vartotojo pranešimų rodymą. Vėlesniuose variantuose kenkėjiška programa buvo įterpta į programas, vaizduojančias suaugusiesiems skirtą vaizdo įrašą, „Baidu Waimai“ ir „Adobe Flash“. Pažymėtina, kad nėra įrodymų, kad šios nesąžiningos programos kada nors buvo platinamos per oficialią „Google Play“ parduotuvę. Tikslus WyrmSpy aukų skaičius nežinomas.

Ryšys tarp WyrmSpy ir APT41 išryškėja naudojant komandų ir valdymo (C2) serverį, kurio IP adresas 121[.]42[.]149[.]52. Šis IP adresas atitinka domeną „vpn2.umisen[.]com“, kuris anksčiau buvo susietas su APT41 grupės infrastruktūra.

Sėkmingai įdiegtas „WyrmSpy“ prašo įkyrių leidimų, leidžiančių grėsmei vykdyti sudėtingas duomenų rinkimo ir išfiltravimo veiklas pažeistame „Android“ įrenginyje. Kenkėjiška programa gali rinkti slaptą vartotojo informaciją, įskaitant nuotraukas, vietos duomenis, SMS žinutes ir garso įrašus.

„WyrmSpy“ taip pat įrodė savo pritaikomumą naudodamas modulius, kurie atsisiunčiami iš C2 serverio. Šis metodas leidžia kenkėjiškajai programai pagerinti duomenų rinkimo galimybes ir išvengti aptikimo.

Be to, WyrmSpy rodo išplėstines funkcijas, nes gali išjungti saugumo patobulintą Linux (SELinux), saugos funkciją Android operacinėje sistemoje. Be to, jis išnaudoja įsišaknijimo įrankius, tokius kaip KingRoot11, kad įgytų aukštesnes privilegijas pažeistuose mobiliuosiuose įrenginiuose.