WyrmSpy Mobile Malware

Plodný predstaviteľ národného štátu podporovaný Čínou, APT41, bol nedávno spájaný s objavom dvoch predtým nezdokumentovaných kmeňov spywaru Android známych ako WyrmSpy a DragonEgg . APT41 je známy svojimi odbornými znalosťami v oblasti využívania webových aplikácií a infiltrácie tradičných koncových zariadení.

Rozšírením svojho arzenálu malvéru o mobilné zariadenia APT 41 jasne demonštruje význam mobilných koncových bodov ako vysokohodnotných cieľov, ktoré obsahujú vytúžené firemné a osobné údaje. To poukazuje na rastúci význam zabezpečenia mobilných zariadení pred sofistikovanými hrozbami, ktoré predstavujú etablovaní aktéri hrozieb, ako je APT 41.

WyrmSpy mohli kyberzločinci používať už roky

Oddelenie pre počítačovú kriminalitu APT41, tiež známe pod rôznymi názvami, ako sú Axiom, Blackfly, Brass Typhoon (predtým Barium), Bronze Atlas, HOODOO, Wicked Panda a Winnti, funguje minimálne od roku 2007 a vykazuje trvalú prítomnosť v kybernetickom prostredí. Tento sofistikovaný aktér hrozieb sa zameriava na rôzne odvetvia s cieľom spravovať duševné vlastníctvo a citlivé informácie.

V poslednej dobe je APT41 zodpovedný za spustenie útokov pomocou open-source červeného tímového nástroja s názvom Google Command and Control (GC2). Tieto útoky boli špecificky zamerané na médiá a pracovné platformy na Taiwane a v Taliansku, čo demonštrovalo neustále sa vyvíjajúcu taktiku a ciele kolektívu.

Pokiaľ ide o ich kampaň s mobilným monitorovacím softvérom, presná metóda počiatočného vniknutia zostáva nezverejnená, existujú však podozrenia z použitia techník sociálneho inžinierstva. WyrmSpy bol prvýkrát zistený už v roku 2017, čo naznačuje dlhodobé a pokračujúce aktivity skupiny v mobilnej sfére. Následne bol DragonEgg identifikovaný na začiatku roka 2021 a nové vzorky tohto malvéru boli pozorované až v apríli 2023, čo zdôrazňuje pretrvávajúcu hrozbu, ktorú predstavuje APT41.

Hrozivé schopnosti nájdené vo WyrmSpy Android Malware

WyrmSpy využíva klamlivú taktiku tým, že sa vydáva za predvolenú systémovú aplikáciu zodpovednú za zobrazovanie upozornení používateľov. V neskorších variáciách bol malvér vložený do aplikácií, ktoré sa vydávajú za videoobsah pre dospelých, Baidu Waimai a Adobe Flash. Predovšetkým neexistuje žiadny dôkaz, ktorý by naznačoval, že tieto nečestné aplikácie boli niekedy distribuované prostredníctvom oficiálneho obchodu Google Play. Presný počet obetí, na ktoré sa WyrmSpy zameral, zostáva neznámy.

Spojenie medzi WyrmSpy a APT41 je zrejmé vďaka použitiu servera Command-and-Control (C2) s IP adresou 121[.]42[.]149[.]52. Táto IP adresa zodpovedá doméne 'vpn2.umisen[.]com', ktorá bola predtým priradená k infraštruktúre skupiny APT41.

Po úspešnej inštalácii WyrmSpy požaduje rušivé povolenia, ktoré hrozbe umožňujú vykonávať sofistikované činnosti zhromažďovania a exfiltrácie údajov na napadnutom zariadení so systémom Android. Malvér dokáže zbierať citlivé informácie o používateľovi vrátane fotografií, údajov o polohe, SMS správ a zvukových nahrávok.

WyrmSpy tiež preukázal svoju prispôsobivosť využitím modulov, ktoré sú stiahnuté zo servera C2. Tento prístup umožňuje malvéru vylepšiť možnosti zberu údajov a zároveň sa vyhnúť detekcii.

Okrem toho WyrmSpy zobrazuje pokročilé funkcie, pretože môže deaktivovať Security-Enhanced Linux (SELinux), bezpečnostnú funkciu v operačnom systéme Android. Okrem toho využíva rootovacie nástroje ako KingRoot11 na získanie zvýšených privilégií na napadnutých mobilných zariadeniach.