WyrmSpy mobil skadlig programvara

Den produktiva Kina-stödda nationalstatsaktören, APT41, har nyligen kopplats till upptäckten av två tidigare odokumenterade stammar av Android-spionprogram kända som WyrmSpy och DragonEgg . APT41 är känt för sin expertis i att utnyttja webbvända applikationer och infiltrera traditionella slutpunktsenheter.

Genom att utöka sin arsenal av skadlig programvara till att omfatta mobila enheter, visar APT 41 tydligt betydelsen av mobila slutpunkter som värdefulla mål som innehåller eftertraktade företags- och personliga data. Detta understryker den ökande betydelsen av att säkra mobila enheter mot sofistikerade hot från etablerade hotaktörer som APT 41.

WyrmSpy kan ha använts av cyberkriminella i flera år

Cyberkriminalitetsoutfiten APT41, som också känns igen av olika namn som Axiom, Blackfly, Brass Typhoon (tidigare Barium), Bronze Atlas, HOODOO, Wicked Panda och Winnti, har varit verksam sedan åtminstone 2007, och visat en ihållande närvaro i cyberlandskapet. Denna sofistikerade hotaktör har riktat sig mot olika branscher i syfte att bedriva immateriell egendom och känslig information.

På senare tid har APT41 varit ansvarig för att starta attacker med hjälp av ett rött teamingverktyg med öppen källkod som heter Google Command and Control (GC2). Dessa attacker var specifikt riktade mot media och jobbplattformar i Taiwan och Italien, vilket visar kollektivets ständigt föränderliga taktik och mål.

När det gäller deras mobila övervakningsprogram förblir den exakta metoden för initialt intrång okänd, men det finns misstankar om användningen av social ingenjörsteknik. WyrmSpy upptäcktes först så tidigt som 2017, vilket indikerar gruppens långvariga och fortsatta aktiviteter i den mobila sfären. Därefter identifierades DragonEgg i början av 2021, och nya prover av denna skadliga programvara observerades så sent som i april 2023, vilket betonade det pågående hotet från APT41.

De hotfulla funktionerna som finns i WyrmSpy Android Malware

WyrmSpy använder vilseledande taktik genom att maskera sig som ett standardsystemprogram som ansvarar för att visa användarmeddelanden. I senare varianter har skadlig programvara inbäddats i applikationer som utger sig för att vara vuxet videoinnehåll, Baidu Waimai och Adobe Flash. Noterbart finns det inga bevis som tyder på att dessa oseriösa appar någonsin distribuerades via den officiella Google Play Butik. Det exakta antalet offer som WyrmSpy riktar mot är fortfarande okänt.

Kopplingen mellan WyrmSpy och APT41 blir uppenbar genom dess användning av en Command-and-Control-server (C2) med IP-adressen 121[.]42[.]149[.]52. Denna IP-adress motsvarar domänen 'vpn2.umisen[.]com' som tidigare har associerats med infrastrukturen för APT41-gruppen.

När den väl har installerats, begär WyrmSpy påträngande behörigheter, vilket gör att hotet kan utföra sofistikerade datainsamlings- och exfiltreringsaktiviteter på den komprometterade Android-enheten. Skadlig programvara kan samla in känslig användarinformation, inklusive foton, platsdata, SMS-meddelanden och ljudinspelningar.

WyrmSpy har också visat sin anpassningsförmåga genom att använda moduler som laddas ner från en C2-server. Detta tillvägagångssätt tillåter skadlig programvara att förbättra sina datainsamlingsmöjligheter samtidigt som den undviker upptäckt.

Dessutom visar WyrmSpy avancerade funktioner, eftersom det kan inaktivera Security-Enhanced Linux (SELinux), en säkerhetsfunktion i Android-operativsystemet. Dessutom utnyttjar den rotverktyg som KingRoot11 för att få förhöjda privilegier på komprometterade mobila enheter.