WyrmSpy Mobile Malware

Prolificul actor de stat național susținut de China, APT41, a fost recent legat de descoperirea a două tulpini nedocumentate de software spion Android cunoscute sub numele de WyrmSpy și DragonEgg . APT41 este renumit pentru expertiza sa în exploatarea aplicațiilor orientate către web și infiltrarea dispozitivelor terminale tradiționale.

Extindendu-și arsenalul de programe malware pentru a include dispozitive mobile, APT 41 demonstrează în mod clar importanța terminalelor mobile ca ținte de mare valoare care găzduiesc date corporative și personale râvnite. Acest lucru evidențiază importanța tot mai mare a securizării dispozitivelor mobile împotriva amenințărilor sofisticate reprezentate de actori consacrați, cum ar fi APT 41.

WyrmSpy ar putea fi folosit de infractorii cibernetici de ani de zile

Compania de criminalitate cibernetică APT41, recunoscută și sub diferite nume precum Axiom, Blackfly, Brass Typhoon (fostă Barium), Bronze Atlas, HOODOO, Wicked Panda și Winnti, funcționează cel puțin din 2007, manifestând o prezență persistentă în peisajul cibernetic. Acest actor de amenințări sofisticat a vizat diverse industrii cu scopul de a conduce proprietate intelectuală și informații sensibile.

În ultima vreme, APT41 a fost responsabil pentru lansarea de atacuri folosind un instrument de echipă roșu open-source numit Google Command and Control (GC2). Aceste atacuri au fost îndreptate în mod special către mass-media și platformele de muncă din Taiwan și Italia, demonstrând tacticile și țintele în continuă evoluție ale colectivului.

În ceea ce privește campania lor de supraveghere mobilă, metoda exactă a intruziunii inițiale rămâne nedezvăluită, dar există suspiciuni cu privire la utilizarea tehnicilor de inginerie socială. WyrmSpy a fost detectat pentru prima dată încă din 2017, indicând activitățile prelungite și continue ale grupului în domeniul mobil. Ulterior, DragonEgg a fost identificat la începutul anului 2021, iar noi mostre ale acestui malware au fost observate chiar în aprilie 2023, subliniind amenințarea continuă reprezentată de APT41.

Capabilitățile amenințătoare găsite în programul malware WyrmSpy Android

WyrmSpy folosește tactici înșelătoare deghându-se ca o aplicație implicită de sistem responsabilă cu afișarea notificărilor utilizatorilor. În variantele ulterioare, malware-ul a fost încorporat în aplicații care se prezintă drept conținut video pentru adulți, Baidu Waimai și Adobe Flash. În special, nu există dovezi care să sugereze că aceste aplicații necinstite au fost vreodată distribuite prin magazinul oficial Google Play. Numărul exact de victime vizate de WyrmSpy rămâne necunoscut.

Conexiunea dintre WyrmSpy și APT41 devine evidentă prin utilizarea unui server de comandă și control (C2) cu adresa IP 121[.]42[.]149[.]52. Această adresă IP corespunde domeniului „vpn2.umisen[.]com” care a fost asociat anterior cu infrastructura grupului APT41.

Odată instalat cu succes, WyrmSpy solicită permisiuni intruzive, permițând amenințării să execute activități sofisticate de colectare și exfiltrare a datelor pe dispozitivul Android compromis. Programul malware este capabil să colecteze informații sensibile ale utilizatorului, inclusiv fotografii, date despre locație, mesaje SMS și înregistrări audio.

WyrmSpy și-a demonstrat, de asemenea, adaptabilitatea utilizând module care sunt descărcate de pe un server C2. Această abordare permite malware-ului să-și îmbunătățească capacitățile de colectare a datelor, evitând în același timp detectarea.

În plus, WyrmSpy afișează funcționalități avansate, deoarece poate dezactiva Security-Enhanced Linux (SELinux), o caracteristică de securitate din cadrul sistemului de operare Android. În plus, exploatează instrumente de înrădăcinare precum KingRoot11 pentru a obține privilegii ridicate pe dispozitivele mobile compromise.