WyrmSpy mobiele malware

De productieve door China gesteunde natiestaatacteur APT41 is onlangs in verband gebracht met de ontdekking van twee voorheen ongedocumenteerde varianten van Android-spyware, bekend als WyrmSpy en DragonEgg . APT41 staat bekend om zijn expertise in het exploiteren van webgerichte applicaties en het infiltreren van traditionele eindpuntapparaten.

Door zijn arsenaal aan malware uit te breiden met mobiele apparaten, toont APT 41 duidelijk het belang aan van mobiele eindpunten als hoogwaardige doelwitten voor het huisvesten van felbegeerde bedrijfs- en persoonlijke gegevens. Dit benadrukt het toenemende belang van het beveiligen van mobiele apparaten tegen geavanceerde bedreigingen van gevestigde bedreigingsactoren zoals APT 41.

WyrmSpy wordt mogelijk al jaren door cybercriminelen gebruikt

De cybercrime-outfit APT41, ook bekend onder verschillende namen zoals Axiom, Blackfly, Brass Typhoon (voorheen Barium), Bronze Atlas, HOODOO, Wicked Panda en Winnti, is actief sinds ten minste 2007 en toont een aanhoudende aanwezigheid in het cyberlandschap. Deze geavanceerde bedreigingsactor heeft zich gericht op verschillende industrieën met als doel intellectueel eigendom en gevoelige informatie te beheren.

In de afgelopen tijd was APT41 verantwoordelijk voor het lanceren van aanvallen met behulp van een open-source red teaming-tool genaamd Google Command and Control (GC2). Deze aanvallen waren specifiek gericht op media en banenplatforms in Taiwan en Italië, wat de steeds evoluerende tactieken en doelen van het collectief aantoont.

Wat betreft hun mobiele surveillanceware-campagne, de exacte methode van initiële inbraak blijft geheim, maar er zijn vermoedens van het gebruik van social engineering-technieken. WyrmSpy werd al in 2017 voor het eerst gedetecteerd, wat wijst op de langdurige en voortdurende activiteiten van de groep in de mobiele wereld. Vervolgens werd DragonEgg begin 2021 geïdentificeerd en pas in april 2023 werden nieuwe voorbeelden van deze malware waargenomen, wat de voortdurende dreiging van APT41 benadrukte.

De bedreigende mogelijkheden gevonden in de WyrmSpy Android-malware

WyrmSpy maakt gebruik van misleidende tactieken door zichzelf te vermommen als een standaardsysteemtoepassing die verantwoordelijk is voor het weergeven van gebruikersmeldingen. In latere varianten is de malware ingebed in applicaties die zich voordoen als video-inhoud voor volwassenen, Baidu Waimai en Adobe Flash. Er zijn met name geen aanwijzingen dat deze frauduleuze apps ooit zijn verspreid via de officiële Google Play Store. Het exacte aantal slachtoffers waarop WyrmSpy het doelwit is, blijft onbekend.

De verbinding tussen WyrmSpy en APT41 wordt duidelijk door het gebruik van een Command-and-Control (C2)-server met het IP-adres 121[.]42[.]149[.]52. Dit IP-adres komt overeen met het domein 'vpn2.umisen[.]com' dat eerder was gekoppeld aan de infrastructuur van de APT41-groep.

Eenmaal succesvol geïnstalleerd, vraagt WyrmSpy om opdringerige machtigingen, waardoor de dreiging geavanceerde gegevensverzameling en exfiltratie-activiteiten kan uitvoeren op het gecompromitteerde Android-apparaat. De malware is in staat om gevoelige gebruikersinformatie te verzamelen, waaronder foto's, locatiegegevens, sms-berichten en audio-opnamen.

WyrmSpy heeft ook zijn aanpassingsvermogen aangetoond door gebruik te maken van modules die zijn gedownload van een C2-server. Door deze aanpak kan de malware zijn mogelijkheden voor het verzamelen van gegevens verbeteren en tegelijkertijd detectie omzeilen.

Bovendien geeft WyrmSpy geavanceerde functionaliteiten weer, omdat het Security-Enhanced Linux (SELinux), een beveiligingsfunctie binnen het Android-besturingssysteem, kan uitschakelen. Bovendien maakt het gebruik van roottools zoals KingRoot11 om verhoogde rechten te krijgen op gecompromitteerde mobiele apparaten.