Mobilne złośliwe oprogramowanie WyrmSpy

Płodny, wspierany przez Chiny aktor państw narodowych, APT41, został niedawno powiązany z odkryciem dwóch wcześniej nieudokumentowanych szczepów oprogramowania szpiegującego dla Androida, znanych jako WyrmSpy i DragonEgg . APT41 jest znany ze swojego doświadczenia w wykorzystywaniu aplikacji internetowych i infiltracji tradycyjnych urządzeń końcowych.

Rozszerzając swój arsenał złośliwego oprogramowania o urządzenia mobilne, APT 41 wyraźnie demonstruje znaczenie mobilnych punktów końcowych jako celów o wysokiej wartości, w których przechowywane są pożądane dane firmowe i osobiste. Podkreśla to rosnące znaczenie zabezpieczania urządzeń mobilnych przed wyrafinowanymi zagrożeniami ze strony ugruntowanych cyberprzestępców, takich jak APT 41.

WyrmSpy mógł być używany przez cyberprzestępców od lat

Zespół cyberprzestępczy APT41, znany również pod różnymi nazwami, takimi jak Axiom, Blackfly, Brass Typhoon (dawniej Barium), Bronze Atlas, HOODOO, Wicked Panda i Winnti, działa od co najmniej 2007 r., wykazując trwałą obecność w cybernetycznym krajobrazie. Ten wyrafinowany cyberprzestępca atakuje różne branże w celu przejęcia własności intelektualnej i poufnych informacji.

W ostatnim czasie APT41 był odpowiedzialny za przeprowadzanie ataków z wykorzystaniem czerwonego narzędzia zespołowego o otwartym kodzie źródłowym, zwanego Google Command and Control (GC2). Ataki te były skierowane w szczególności na media i platformy pracy na Tajwanie i we Włoszech, demonstrując stale ewoluujące taktyki i cele kolektywu.

Jeśli chodzi o kampanię mobilnego oprogramowania monitorującego, dokładna metoda początkowego włamania pozostaje nieujawniona, ale istnieją podejrzenia o użycie technik socjotechnicznych. WyrmSpy został po raz pierwszy wykryty już w 2017 roku, co wskazuje na długotrwałą i ciągłą działalność grupy w świecie mobilnym. Następnie na początku 2021 roku zidentyfikowano DragonEgg, a nowe próbki tego szkodliwego oprogramowania zaobserwowano dopiero w kwietniu 2023 roku, co podkreśla ciągłe zagrożenie ze strony APT41.

Groźne możliwości znalezione w złośliwym oprogramowaniu WyrmSpy dla systemu Android

WyrmSpy stosuje oszukańcze taktyki, udając domyślną aplikację systemową odpowiedzialną za wyświetlanie powiadomień użytkownika. W późniejszych odmianach złośliwe oprogramowanie zostało osadzone w aplikacjach udających treści wideo dla dorosłych, Baidu Waimai i Adobe Flash. Warto zauważyć, że nie ma dowodów sugerujących, że te nieuczciwe aplikacje były kiedykolwiek dystrybuowane za pośrednictwem oficjalnego sklepu Google Play. Dokładna liczba ofiar atakowanych przez WyrmSpy pozostaje nieznana.

Połączenie między WyrmSpy i APT41 staje się widoczne dzięki wykorzystaniu przez niego serwera Command-and-Control (C2) o adresie IP 121[.]42[.]149[.]52. Ten adres IP odpowiada domenie „vpn2.umisen[.]com”, która była wcześniej powiązana z infrastrukturą grupy APT41.

Po pomyślnej instalacji WyrmSpy żąda natrętnych uprawnień, umożliwiając zagrożeniu wykonanie wyrafinowanych działań związanych z gromadzeniem i eksfiltracją danych na zaatakowanym urządzeniu z Androidem. Złośliwe oprogramowanie jest w stanie zbierać poufne informacje o użytkowniku, w tym zdjęcia, dane o lokalizacji, wiadomości SMS i nagrania dźwiękowe.

WyrmSpy wykazał również swoje zdolności adaptacyjne, wykorzystując moduły pobierane z serwera C2. Takie podejście pozwala złośliwemu oprogramowaniu zwiększyć możliwości gromadzenia danych, jednocześnie unikając wykrycia.

Dodatkowo WyrmSpy wyświetla zaawansowane funkcje, ponieważ może wyłączyć Security-Enhanced Linux (SELinux), funkcję bezpieczeństwa w systemie operacyjnym Android. Ponadto wykorzystuje narzędzia do rootowania, takie jak KingRoot11, w celu uzyskania podwyższonych uprawnień na zainfekowanych urządzeniach mobilnych.