WyrmSpy mobilā ļaunprogrammatūra

Ražīgais Ķīnas atbalstītais nacionālās valsts aktieris APT41 nesen tika saistīts ar divu iepriekš nedokumentētu Android spiegprogrammatūras celmu atklāšanu, kas pazīstami kā WyrmSpy un DragonEgg . APT41 ir slavens ar savām zināšanām tīmeklī pieejamo lietojumprogrammu izmantošanā un tradicionālo galapunkta ierīču iefiltrēšanā.

Paplašinot savu ļaunprātīgās programmatūras arsenālu, iekļaujot tajā mobilās ierīces, APT 41 skaidri parāda mobilo galapunktu nozīmi kā augstvērtīgus mērķus, kuros tiek glabāti kārotie uzņēmuma un personas dati. Tas norāda uz pieaugošo nozīmi mobilo ierīču aizsardzībai pret sarežģītiem draudiem, ko rada tādi zināmi apdraudējuma dalībnieki kā APT 41.

Iespējams, ka WyrmSpy jau gadiem ilgi ir izmantojuši kibernoziedznieki

Kibernoziegumu komplekts APT41, kas pazīstams arī ar dažādiem nosaukumiem, piemēram, Axiom, Blackfly, Brass Typhoon (agrāk Barium), Bronze Atlas, HOODOO, Wicked Panda un Winnti, ir darbojies vismaz kopš 2007. gada, demonstrējot pastāvīgu klātbūtni kiberainā. Šis izsmalcinātais apdraudējums ir vērsts uz dažādām nozarēm, lai pārvaldītu intelektuālo īpašumu un sensitīvu informāciju.

Pēdējā laikā APT41 ir bijis atbildīgs par uzbrukumu uzsākšanu, izmantojot atvērtā pirmkoda sarkano komandas rīku Google Command and Control (GC2). Šie uzbrukumi bija īpaši vērsti pret plašsaziņas līdzekļiem un darba platformām Taivānā un Itālijā, demonstrējot kolektīva nepārtraukti mainīgo taktiku un mērķus.

Kas attiecas uz viņu mobilās novērošanas programmatūras kampaņu, precīza sākotnējās ielaušanās metode joprojām netiek atklāta, taču pastāv aizdomas par sociālās inženierijas paņēmienu izmantošanu. WyrmSpy pirmo reizi tika atklāts jau 2017. gadā, norādot uz grupas ilgstošām un nepārtrauktām aktivitātēm mobilajā jomā. Pēc tam DragonEgg tika identificēts 2021. gada sākumā, un jauni šīs ļaunprogrammatūras paraugi tika novēroti vēl 2023. gada aprīlī, uzsverot pastāvīgos APT41 radītos draudus.

WyrmSpy Android ļaunprogrammatūrā atrastās draudošās iespējas

WyrmSpy izmanto maldinošu taktiku, maskējoties kā noklusējuma sistēmas lietojumprogramma, kas ir atbildīga par lietotāju paziņojumu rādīšanu. Vēlākos variantos ļaunprogrammatūra ir iegulta lietojumprogrammās, kas tiek uzskatītas par pieaugušajiem paredzētu video saturu, Baidu Waimai un Adobe Flash. Proti, nav pierādījumu, kas liecinātu, ka šīs negodīgās lietotnes kādreiz būtu izplatītas oficiālajā Google Play veikalā. Precīzs WyrmSpy upuru skaits joprojām nav zināms.

Saikne starp WyrmSpy un APT41 kļūst acīmredzama, izmantojot Command-and-Control (C2) serveri ar IP adresi 121[.]42[.]149[.]52. Šī IP adrese atbilst domēnam “vpn2.umisen[.]com”, kas iepriekš bija saistīts ar APT41 grupas infrastruktūru.

Pēc veiksmīgas instalēšanas WyrmSpy pieprasa uzmācīgas atļaujas, ļaujot apdraudētajam veikt sarežģītas datu vākšanas un izfiltrēšanas darbības apdraudētajā Android ierīcē. Ļaunprātīga programmatūra spēj ievākt sensitīvu lietotāja informāciju, tostarp fotoattēlus, atrašanās vietas datus, SMS ziņas un audio ierakstus.

WyrmSpy ir arī pierādījis savu pielāgošanās spēju, izmantojot moduļus, kas tiek lejupielādēti no C2 servera. Šī pieeja ļauj ļaunprātīgai programmatūrai uzlabot datu vākšanas iespējas, vienlaikus izvairoties no atklāšanas.

Turklāt WyrmSpy parāda uzlabotas funkcijas, jo tas var atspējot drošības uzlabotu Linux (SELinux), drošības līdzekli Android operētājsistēmā. Turklāt tas izmanto sakņu rīkus, piemēram, KingRoot11, lai iegūtu paaugstinātas privilēģijas apdraudētajās mobilajās ierīcēs.