WyrmSpy mobil skadelig programvare

Den produktive Kina-støttede nasjonalstatsaktøren, APT41, har nylig blitt koblet til oppdagelsen av to tidligere udokumenterte stammer av Android-spyware kjent som WyrmSpy og DragonEgg . APT41 er kjent for sin ekspertise i å utnytte nettvendte applikasjoner og infiltrere tradisjonelle endepunktenheter.

Ved å utvide arsenalet av skadelig programvare til å inkludere mobile enheter, demonstrerer APT 41 tydelig betydningen av mobile endepunkter som mål av høy verdi som inneholder ettertraktede bedrifts- og persondata. Dette fremhever den økende betydningen av å sikre mobile enheter mot sofistikerte trusler fra etablerte trusselaktører som APT 41.

WyrmSpy kan ha blitt brukt av nettkriminelle i årevis

Nettkriminalitetsantrekket APT41, også anerkjent av forskjellige navn som Axiom, Blackfly, Brass Typhoon (tidligere Barium), Bronze Atlas, HOODOO, Wicked Panda og Winnti, har vært i drift siden minst 2007, og har vist en vedvarende tilstedeværelse i cyberlandskapet. Denne sofistikerte trusselaktøren har rettet seg mot ulike bransjer med sikte på å drive åndsverk og sensitiv informasjon.

I nyere tid har APT41 vært ansvarlig for å starte angrep ved å bruke et åpen kildekode rødt teaming-verktøy kalt Google Command and Control (GC2). Disse angrepene var spesifikt rettet mot media og jobbplattformer i Taiwan og Italia, og demonstrerte kollektivets stadig utviklende taktikk og mål.

Når det gjelder mobilovervåkingskampanjen deres, forblir den nøyaktige metoden for første inntrengning ukjent, men det er mistanker om bruk av sosiale ingeniørteknikker. WyrmSpy ble først oppdaget så tidlig som i 2017, noe som indikerer gruppens langvarige og fortsatte aktiviteter i det mobile riket. Deretter ble DragonEgg identifisert i begynnelsen av 2021, og nye prøver av denne skadevare ble observert så sent som i april 2023, noe som understreker den pågående trusselen som APT41 utgjør.

De truende egenskapene funnet i WyrmSpy Android-malware

WyrmSpy bruker villedende taktikk ved å forkle seg som en standard systemapplikasjon som er ansvarlig for å vise brukervarsler. I senere varianter har skadelig programvare blitt innebygd i applikasjoner som utgir seg for å være voksent videoinnhold, Baidu Waimai og Adobe Flash. Spesielt er det ingen bevis som tyder på at disse useriøse appene noen gang ble distribuert gjennom den offisielle Google Play-butikken. Det nøyaktige antallet ofre som WyrmSpy målrettet er fortsatt ukjent.

Forbindelsen mellom WyrmSpy og APT41 blir tydelig gjennom bruken av en Command-and-Control-server (C2) med IP-adressen 121[.]42[.]149[.]52. Denne IP-adressen tilsvarer domenet 'vpn2.umisen[.]com' som tidligere har vært assosiert med infrastrukturen til APT41-gruppen.

Når den er installert, ber WyrmSpy om påtrengende tillatelser, slik at trusselen kan utføre sofistikerte datainnsamlings- og eksfiltreringsaktiviteter på den kompromitterte Android-enheten. Skadevaren er i stand til å samle inn sensitiv brukerinformasjon, inkludert bilder, stedsdata, SMS-meldinger og lydopptak.

WyrmSpy har også demonstrert sin tilpasningsevne ved å bruke moduler som lastes ned fra en C2-server. Denne tilnærmingen tillater skadelig programvare å forbedre datainnsamlingsmulighetene samtidig som den unngår oppdagelse.

I tillegg viser WyrmSpy avanserte funksjoner, siden den kan deaktivere Security-Enhanced Linux (SELinux), en sikkerhetsfunksjon i Android-operativsystemet. Videre utnytter den rooting-verktøy som KingRoot11 for å få økte privilegier på kompromitterte mobile enheter.