WyrmSpy Mobile Malware

Плодни актер националне државе коју подржава Кина, АПТ41, недавно је повезан са открићем две раније недокументоване врсте Андроид шпијунског софтвера познате као ВирмСпи и ДрагонЕгг . АПТ41 је познат по својој стручности у искоришћавању веб апликација и инфилтрирању традиционалних крајњих уређаја.

Проширујући свој арсенал малвера на мобилне уређаје, АПТ 41 јасно показује значај мобилних крајњих тачака као мете високе вредности у којима се налазе жељени корпоративни и лични подаци. Ово наглашава све већи значај заштите мобилних уређаја од софистицираних претњи које представљају познати актери претњи као што је АПТ 41.

Сајбер-криминалци су можда годинама користили ВирмСпи

Одељење за сајбер криминал АПТ41, такође препознато по разним именима као што су Акиом, Блацкфли, Брасс Типхоон (раније Бариум), Бронзе Атлас, ХООДОО, Вицкед Панда и Виннти, ради од најмање 2007. године, показујући стално присуство у сајбер пејзажу. Овај софистицирани актер претњи је циљао различите индустрије са циљем да води интелектуалну својину и осетљиве информације.

У новије време, АПТ41 је одговоран за покретање напада користећи отворени алат за црвено тимовање под називом Гоогле Цомманд анд Цонтрол (ГЦ2). Ови напади су били посебно усмерени на медије и платформе за запошљавање на Тајвану и у Италији, демонстрирајући стално еволуирајућу тактику и мете колектива.

Што се тиче њихове кампање мобилног надзора, тачан метод почетног упада остаје неоткривен, али постоје сумње у употребу техника друштвеног инжењеринга. ВирмСпи је први пут откривен још 2017. године, што указује на продужене и континуиране активности групе у мобилном домену. Након тога, ДрагонЕгг је идентификован почетком 2021. године, а нови узорци овог малвера примећени су тек у априлу 2023., наглашавајући сталну претњу коју представља АПТ41.

Претеће могућности пронађене у ВирмСпи Андроид малверу

ВирмСпи користи обмањујуће тактике тако што се прерушава као подразумевана системска апликација одговорна за приказивање обавештења корисника. У каснијим варијацијама, малвер је уграђен у апликације које се представљају као видео садржај за одрасле, Баиду Ваимаи и Адобе Фласх. Посебно, нема доказа који би указивали на то да су ове лажне апликације икада дистрибуиране преко званичне Гоогле Плаи продавнице. Тачан број жртава на мети ВирмСпи остаје непознат.

Веза између ВирмСпи-а и АПТ41 постаје очигледна кроз његово коришћење сервера за команду и контролу (Ц2) са ИП адресом 121[.]42[.]149[.]52. Ова ИП адреса одговара домену 'впн2.умисен[.]цом' који је претходно био повезан са инфраструктуром групе АПТ41.

Једном успешно инсталиран, ВирмСпи захтева наметљиве дозволе, омогућавајући претњи да изврши софистициране активности прикупљања и ексфилтрације података на компромитованом Андроид уређају. Малвер је способан да прикупи осетљиве корисничке информације, укључујући фотографије, податке о локацији, СМС поруке и аудио снимке.

ВирмСпи је такође показао своју прилагодљивост коришћењем модула који се преузимају са Ц2 сервера. Овај приступ омогућава малверу да побољша своје могућности прикупљања података док избегава откривање.

Поред тога, ВирмСпи приказује напредне функционалности, јер може да онемогући безбедносно побољшани Линук (СЕЛинук), безбедносну функцију у оквиру Андроид оперативног система. Штавише, користи алатке за рутовање као што је КингРоот11 да би стекао повишене привилегије на компромитованим мобилним уређајима.