Perisian Hasad Mudah Alih WyrmSpy
Pelakon negara bangsa prolifik yang disokong China, APT41, baru-baru ini telah dikaitkan dengan penemuan dua jenis perisian pengintip Android yang tidak didokumenkan sebelum ini yang dikenali sebagai WyrmSpy dan DragonEgg . APT41 terkenal dengan kepakarannya dalam mengeksploitasi aplikasi menghadap web dan menyusup peranti titik akhir tradisional.
Dengan mengembangkan senjata perisian hasadnya untuk memasukkan peranti mudah alih, APT 41 dengan jelas menunjukkan kepentingan titik akhir mudah alih sebagai sasaran bernilai tinggi yang menempatkan data korporat dan peribadi yang diidamkan. Ini menyerlahkan kepentingan yang semakin meningkat untuk melindungi peranti mudah alih daripada ancaman canggih yang ditimbulkan oleh pelaku ancaman yang mantap seperti APT 41.
WyrmSpy Mungkin Telah Digunakan oleh Penjenayah Siber Selama Bertahun-tahun
Pakaian jenayah siber APT41, juga dikenali dengan pelbagai nama seperti Axiom, Blackfly, Brass Typhoon (dahulunya Barium), Atlas Gangsa, HOODOO, Wicked Panda dan Winnti, telah beroperasi sejak sekurang-kurangnya 2007, memaparkan kehadiran berterusan dalam landskap siber. Aktor ancaman canggih ini telah mensasarkan pelbagai industri dengan tujuan untuk menjalankan harta intelek dan maklumat sensitif.
Sejak kebelakangan ini, APT41 telah bertanggungjawab melancarkan serangan menggunakan alat gabungan merah sumber terbuka yang dipanggil Perintah dan Kawalan Google (GC2). Serangan ini secara khusus ditujukan kepada media dan platform pekerjaan di Taiwan dan Itali, menunjukkan taktik dan sasaran kolektif yang sentiasa berkembang.
Bagi kempen perisian pengawasan mudah alih mereka, kaedah tepat pencerobohan awal masih tidak didedahkan, tetapi terdapat syak wasangka penggunaan teknik kejuruteraan sosial. WyrmSpy pertama kali dikesan seawal 2017, menunjukkan aktiviti kumpulan yang berpanjangan dan berterusan dalam alam mudah alih. Selepas itu, DragonEgg telah dikenal pasti pada awal tahun 2021, dan sampel baharu perisian hasad ini telah diperhatikan seawal April 2023, menekankan ancaman berterusan yang ditimbulkan oleh APT41.
Keupayaan Mengancam Ditemui dalam Perisian Hasad Android WyrmSpy
WyrmSpy menggunakan taktik menipu dengan menyamar sebagai aplikasi sistem lalai yang bertanggungjawab untuk memaparkan pemberitahuan pengguna. Dalam variasi kemudian, perisian hasad telah dibenamkan ke dalam aplikasi yang menyamar sebagai kandungan video dewasa, Baidu Waimai dan Adobe Flash. Terutama, tiada bukti yang menunjukkan bahawa aplikasi penyangak ini pernah diedarkan melalui Gedung Google Play rasmi. Jumlah sebenar mangsa yang disasarkan oleh WyrmSpy masih tidak diketahui.
Sambungan antara WyrmSpy dan APT41 menjadi jelas melalui penggunaan pelayan Command-and-Control (C2) dengan alamat IP 121[.]42[.]149[.]52. Alamat IP ini sepadan dengan domain 'vpn2.umisen[.]com' yang sebelum ini dikaitkan dengan infrastruktur kumpulan APT41.
Setelah berjaya dipasang, WyrmSpy meminta kebenaran mengganggu, membenarkan ancaman untuk melaksanakan aktiviti pengumpulan dan penyusutan data yang canggih pada peranti Android yang terjejas. Perisian hasad mampu menuai maklumat pengguna yang sensitif, termasuk foto, data lokasi, mesej SMS dan rakaman audio.
WyrmSpy juga telah menunjukkan kebolehsuaiannya dengan menggunakan modul yang dimuat turun dari pelayan C2. Pendekatan ini membolehkan perisian hasad meningkatkan keupayaan pengumpulan datanya sambil mengelak pengesanan.
Selain itu, WyrmSpy memaparkan fungsi lanjutan, kerana ia boleh melumpuhkan Linux Dipertingkatkan Keselamatan (SELinux), ciri keselamatan dalam sistem pengendalian Android. Tambahan pula, ia mengeksploitasi alat pengakaran seperti KingRoot11 untuk mendapatkan keistimewaan yang tinggi pada peranti mudah alih yang terjejas.
