Zlonamerna programska oprema za mobilne naprave WyrmSpy
Plodnega nacionalnega državnega akterja, ki ga podpira Kitajska, APT41, so nedavno povezali z odkritjem dveh prej nedokumentiranih vrst vohunske programske opreme za Android, znanih kot WyrmSpy in DragonEgg . APT41 je znan po svojem strokovnem znanju pri izkoriščanju spletnih aplikacij in infiltraciji v tradicionalne končne naprave.
Z razširitvijo svojega arzenala zlonamerne programske opreme na mobilne naprave APT 41 jasno dokazuje pomen mobilnih končnih točk kot tarč visoke vrednosti, ki hranijo želene poslovne in osebne podatke. To poudarja vse večji pomen zaščite mobilnih naprav pred sofisticiranimi grožnjami, ki jih predstavljajo uveljavljeni akterji groženj, kot je APT 41.
WyrmSpy morda kibernetski kriminalci uporabljajo že leta
Skupina za kibernetski kriminal APT41, poznana tudi pod različnimi imeni, kot so Axiom, Blackfly, Brass Typhoon (prej Barium), Bronze Atlas, HOODOO, Wicked Panda in Winnti, deluje vsaj od leta 2007 in kaže vztrajno prisotnost v kibernetskem okolju. Ta prefinjeni akter grožnje cilja na različne industrije z namenom izvajanja intelektualne lastnine in občutljivih informacij.
V zadnjem času je bil APT41 odgovoren za zagon napadov z uporabo odprtokodnega rdečega orodja za združevanje, imenovanega Google Command and Control (GC2). Ti napadi so bili posebej usmerjeni na medije in platforme za zaposlovanje v Tajvanu in Italiji, kar kaže na stalno razvijajoče se taktike in tarče kolektiva.
Kar zadeva njihovo kampanjo mobilne nadzorne opreme, natančna metoda začetnega vdora ostaja nerazkrita, vendar obstajajo sumi o uporabi tehnik socialnega inženiringa. WyrmSpy je bil prvič odkrit že leta 2017, kar kaže na dolgotrajne in neprekinjene dejavnosti skupine na mobilnem področju. Pozneje je bil DragonEgg identificiran v začetku leta 2021, novi vzorci te zlonamerne programske opreme pa so bili opaženi šele aprila 2023, kar je poudarilo stalno grožnjo, ki jo predstavlja APT41.
Nevarne zmožnosti, ki jih najdemo v zlonamerni programski opremi za Android WyrmSpy
WyrmSpy uporablja zavajajoče taktike, tako da se prikrije kot privzeta sistemska aplikacija, odgovorna za prikazovanje uporabniških obvestil. V kasnejših različicah je bila zlonamerna programska oprema vdelana v aplikacije, ki se predstavljajo kot video vsebine za odrasle, Baidu Waimai in Adobe Flash. Predvsem ni dokazov, ki bi kazali, da so bile te lažne aplikacije kdaj distribuirane prek uradne trgovine Google Play. Natančno število žrtev WyrmSpyja ostaja neznano.
Povezava med WyrmSpy in APT41 postane očitna z uporabo strežnika Command-and-Control (C2) z naslovom IP 121[.]42[.]149[.]52. Ta naslov IP ustreza domeni 'vpn2.umisen[.]com', ki je bila prej povezana z infrastrukturo skupine APT41.
Ko je WyrmSpy uspešno nameščen, zahteva vsiljiva dovoljenja, ki grožnji omogočajo izvajanje sofisticiranih dejavnosti zbiranja podatkov in izločanja v ogroženi napravi Android. Zlonamerna programska oprema je sposobna pridobiti občutljive uporabniške podatke, vključno s fotografijami, podatki o lokaciji, sporočili SMS in zvočnimi posnetki.
WyrmSpy je tudi dokazal svojo prilagodljivost z uporabo modulov, ki so preneseni s strežnika C2. Ta pristop omogoča zlonamerni programski opremi, da izboljša svoje zmožnosti zbiranja podatkov, hkrati pa se izogne odkrivanju.
Poleg tega WyrmSpy prikazuje napredne funkcije, saj lahko onemogoči Security-Enhanced Linux (SELinux), varnostno funkcijo v operacijskem sistemu Android. Poleg tega izkorišča orodja za ukoreninjenje, kot je KingRoot11, za pridobitev višjih privilegijev na ogroženih mobilnih napravah.
