Мобильное вредоносное ПО WyrmSpy

Известный поддерживаемый Китаем государственный деятель APT41 недавно был связан с обнаружением двух ранее недокументированных штаммов шпионского ПО для Android, известных как WyrmSpy и DragonEgg . APT41 известна своим опытом использования веб-приложений и проникновения в традиционные конечные устройства.

Расширив свой арсенал вредоносных программ, включив в него мобильные устройства, APT 41 наглядно демонстрирует важность мобильных оконечных устройств как ценных целей, хранящих желанные корпоративные и личные данные. Это подчеркивает растущую важность защиты мобильных устройств от изощренных угроз, создаваемых известными злоумышленниками, такими как APT 41.

Киберпреступники годами могли использовать WyrmSpy

Группа киберпреступников APT41, также известная под разными именами, такими как Axiom, Blackfly, Brass Typhoon (ранее Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti, действует по крайней мере с 2007 года, демонстрируя постоянное присутствие в киберпространстве. Этот изощренный хакер атакует различные отрасли с целью получения интеллектуальной собственности и конфиденциальной информации.

В последнее время APT41 отвечал за запуск атак с использованием открытого инструмента Red Teaming под названием Google Command and Control (GC2). Эти атаки были специально направлены на средства массовой информации и платформы по трудоустройству на Тайване и в Италии, демонстрируя постоянно меняющуюся тактику и цели коллектива.

Что касается их кампании по мобильному наблюдению, то точный метод первоначального вторжения остается нераскрытым, но есть подозрения об использовании методов социальной инженерии. WyrmSpy был впервые обнаружен еще в 2017 году, что указывает на длительную и постоянную деятельность группы в мобильной сфере. Впоследствии DragonEgg был идентифицирован в начале 2021 года, а новые образцы этой вредоносной программы наблюдались совсем недавно, в апреле 2023 года, что подчеркивает постоянную угрозу, исходящую от APT41.

Угрожающие возможности вредоносного ПО WyrmSpy для Android

WyrmSpy применяет тактику обмана, маскируя себя под стандартное системное приложение, отвечающее за отображение пользовательских уведомлений. В более поздних версиях вредоносное ПО было встроено в приложения, выдававшие себя за видеоконтент для взрослых, Baidu Waimai и Adobe Flash. Примечательно, что нет никаких доказательств того, что эти мошеннические приложения когда-либо распространялись через официальный магазин Google Play. Точное количество жертв, на которые нацелен WyrmSpy, остается неизвестным.

Связь между WyrmSpy и APT41 становится очевидной благодаря использованию им сервера управления и контроля (C2) с IP-адресом 121[.]42[.]149[.]52. Этот IP-адрес соответствует домену vpn2.umisen[.]com, который ранее был связан с инфраструктурой группы APT41.

После успешной установки WyrmSpy запрашивает навязчивые разрешения, позволяя угрозе выполнять сложные действия по сбору и краже данных на скомпрометированном устройстве Android. Вредоносная программа способна собирать конфиденциальную информацию о пользователях, включая фотографии, данные о местоположении, SMS-сообщения и аудиозаписи.

WyrmSpy также продемонстрировал свою адаптивность, используя модули, загружаемые с сервера C2. Такой подход позволяет вредоносным программам расширять возможности сбора данных, избегая при этом обнаружения.

Кроме того, WyrmSpy обладает расширенными функциональными возможностями, поскольку может отключать Linux с улучшенной безопасностью (SELinux), функцию безопасности в операционной системе Android. Кроме того, он использует инструменты рутирования, такие как KingRoot11, для получения повышенных привилегий на скомпрометированных мобильных устройствах.