Malware WyrmSpy Mobile

Aktori pjellor i shtetit-komb i mbështetur nga Kina, APT41, kohët e fundit është lidhur me zbulimin e dy llojeve të padokumentuara më parë të softuerit spiun Android të njohur si WyrmSpy dhe DragonEgg . APT41 është i njohur për ekspertizën e tij në shfrytëzimin e aplikacioneve që përballen me ueb dhe depërtimin e pajisjeve tradicionale të pikës fundore.

Duke zgjeruar arsenalin e tij të malware për të përfshirë pajisjet celulare, APT 41 tregon qartë rëndësinë e pikave fundore celulare si objektiva me vlerë të lartë që strehojnë të dhëna të lakmuara të korporatave dhe personale. Kjo nënvizon rëndësinë në rritje të sigurimit të pajisjeve celulare kundër kërcënimeve të sofistikuara të paraqitura nga aktorë të krijuar kërcënimesh si APT 41.

WyrmSpy mund të jetë përdorur nga kriminelët kibernetikë prej vitesh

Veshja e krimit kibernetik APT41, e njohur edhe me emra të ndryshëm si Axiom, Blackfly, Brass Typhoon (ish Barium), Bronze Atlas, HOODOO, Wicked Panda dhe Winnti, ka funksionuar të paktën që nga viti 2007, duke shfaqur një prani të vazhdueshme në peizazhin kibernetik. Ky aktor i sofistikuar i kërcënimit ka synuar industri të ndryshme me synimin për të kryer pronësi intelektuale dhe informacion të ndjeshëm.

Kohët e fundit, APT41 ka qenë përgjegjës për lançimin e sulmeve duke përdorur një mjet bashkimi të kuq me burim të hapur të quajtur Komanda dhe Kontrolli i Google (GC2). Këto sulme u drejtuan posaçërisht ndaj mediave dhe platformave të punës në Tajvan dhe Itali, duke demonstruar taktikat dhe objektivat gjithnjë në zhvillim të kolektivit.

Sa i përket fushatës së tyre të survejimit celular, metoda e saktë e ndërhyrjes fillestare mbetet e pazbuluar, por ka dyshime për përdorimin e teknikave të inxhinierisë sociale. WyrmSpy u zbulua për herë të parë që në vitin 2017, duke treguar aktivitetet e zgjatura dhe të vazhdueshme të grupit në fushën e celularit. Më pas, DragonEgg u identifikua në fillim të vitit 2021 dhe mostra të reja të këtij malware u vëzhguan deri në prill 2023, duke theksuar kërcënimin e vazhdueshëm të paraqitur nga APT41.

Aftësitë kërcënuese të gjetura në malware-in WyrmSpy Android

WyrmSpy përdor taktika mashtruese duke u maskuar si një aplikacion i parazgjedhur i sistemit përgjegjës për shfaqjen e njoftimeve të përdoruesve. Në variacionet e mëvonshme, malware është futur në aplikacione që paraqiten si përmbajtje video për të rritur, Baidu Waimai dhe Adobe Flash. Veçanërisht, nuk ka asnjë provë që sugjeron se këto aplikacione mashtruese janë shpërndarë ndonjëherë përmes dyqanit zyrtar të Google Play. Numri i saktë i viktimave të shënjestruar nga WyrmSpy mbetet i panjohur.

Lidhja midis WyrmSpy dhe APT41 bëhet e dukshme përmes përdorimit të një serveri Command-and-Control (C2) me adresën IP 121[.]42[.]149[.]52. Kjo adresë IP korrespondon me domenin 'vpn2.umisen[.]com' që është lidhur më parë me infrastrukturën e grupit APT41.

Pasi të instalohet me sukses, WyrmSpy kërkon leje ndërhyrëse, duke lejuar kërcënimin për të ekzekutuar aktivitete të sofistikuara të mbledhjes dhe ekfiltrimit të të dhënave në pajisjen Android të komprometuar. Malware është në gjendje të mbledhë informacione të ndjeshme të përdoruesit, duke përfshirë fotot, të dhënat e vendndodhjes, mesazhet SMS dhe regjistrimet audio.

WyrmSpy gjithashtu ka demonstruar përshtatshmërinë e tij duke përdorur module që shkarkohen nga një server C2. Kjo qasje i lejon malware të përmirësojë aftësitë e tij të mbledhjes së të dhënave duke shmangur zbulimin.

Për më tepër, WyrmSpy shfaq funksionalitete të avancuara, pasi mund të çaktivizojë Linux-in e përmirësuar me siguri (SELinux), një veçori sigurie brenda sistemit operativ Android. Për më tepër, ai shfrytëzon mjetet e rrënjosjes si KingRoot11 për të fituar privilegje të larta në pajisjet celulare të komprometuara.