WyrmSpy మొబైల్ మాల్వేర్
ఫలవంతమైన చైనా-మద్దతుగల దేశ-రాష్ట్ర నటుడు, APT41, ఇటీవల WyrmSpy మరియు DragonEgg అని పిలవబడే Android స్పైవేర్ యొక్క గతంలో నమోదు చేయని రెండు జాతుల ఆవిష్కరణకు లింక్ చేయబడింది. APT41 వెబ్-ఫేసింగ్ అప్లికేషన్లను ఉపయోగించుకోవడంలో మరియు సాంప్రదాయ ఎండ్పాయింట్ పరికరాల్లోకి చొరబడడంలో దాని నైపుణ్యానికి ప్రసిద్ధి చెందింది.
మొబైల్ పరికరాలను చేర్చడానికి మాల్వేర్ యొక్క ఆయుధాగారాన్ని విస్తరించడం ద్వారా, APT 41 మొబైల్ ఎండ్పాయింట్ల యొక్క ప్రాముఖ్యతను స్పష్టంగా ప్రదర్శిస్తుంది, అధిక-విలువ లక్ష్యాలను హౌసింగ్ గౌరవనీయమైన కార్పొరేట్ మరియు వ్యక్తిగత డేటా. APT 41 వంటి స్థాపించబడిన ముప్పు నటుల ద్వారా ఎదురయ్యే అధునాతన బెదిరింపులకు వ్యతిరేకంగా మొబైల్ పరికరాలను భద్రపరచడం యొక్క పెరుగుతున్న ప్రాముఖ్యతను ఇది హైలైట్ చేస్తుంది.
WyrmSpy కొన్ని సంవత్సరాలుగా సైబర్ నేరగాళ్లచే ఉపయోగించబడవచ్చు
సైబర్ క్రైమ్ ఔట్ఫిట్ APT41, ఆక్సియోమ్, బ్లాక్ఫ్లై, బ్రాస్ టైఫూన్ (గతంలో బేరియం), కాంస్య అట్లాస్, HOODOO, వికెడ్ పాండా మరియు వింటి వంటి వివిధ పేర్లతో కూడా గుర్తింపు పొందింది, సైబర్ ల్యాండ్స్కేప్లో స్థిరమైన ఉనికిని ప్రదర్శిస్తూ కనీసం 2007 నుండి పనిచేస్తోంది. ఈ అధునాతన బెదిరింపు నటుడు మేధో సంపత్తి మరియు సున్నితమైన సమాచారాన్ని నిర్వహించే లక్ష్యంతో వివిధ పరిశ్రమలను లక్ష్యంగా చేసుకున్నాడు.
ఇటీవలి కాలంలో, Google కమాండ్ అండ్ కంట్రోల్ (GC2) అనే ఓపెన్ సోర్స్ రెడ్ టీమింగ్ టూల్ని ఉపయోగించి దాడులను ప్రారంభించేందుకు APT41 బాధ్యత వహిస్తోంది. ఈ దాడులు ప్రత్యేకంగా తైవాన్ మరియు ఇటలీలోని మీడియా మరియు జాబ్ ప్లాట్ఫారమ్లను లక్ష్యంగా చేసుకున్నాయి, ఇది సమిష్టి యొక్క ఎప్పటికప్పుడు అభివృద్ధి చెందుతున్న వ్యూహాలు మరియు లక్ష్యాలను ప్రదర్శిస్తుంది.
వారి మొబైల్ నిఘా వేర్ ప్రచారానికి సంబంధించి, ప్రారంభ చొరబాటు యొక్క ఖచ్చితమైన పద్ధతి బహిర్గతం కాలేదు, అయితే సామాజిక ఇంజనీరింగ్ సాంకేతికతలను ఉపయోగించడంపై అనుమానాలు ఉన్నాయి. WyrmSpy మొట్టమొదట 2017 లోనే కనుగొనబడింది, ఇది మొబైల్ రంగంలో సమూహం యొక్క సుదీర్ఘమైన మరియు నిరంతర కార్యకలాపాలను సూచిస్తుంది. తదనంతరం, డ్రాగన్ ఎగ్ 2021 ప్రారంభంలో గుర్తించబడింది మరియు ఈ మాల్వేర్ యొక్క కొత్త నమూనాలు ఏప్రిల్ 2023 నాటికి ఇటీవల గమనించబడ్డాయి, ఇది APT41 ద్వారా కొనసాగుతున్న ముప్పును నొక్కి చెబుతుంది.
WyrmSpy ఆండ్రాయిడ్ మాల్వేర్లో బెదిరింపు సామర్థ్యాలు కనుగొనబడ్డాయి
WyrmSpy వినియోగదారు నోటిఫికేషన్లను ప్రదర్శించడానికి బాధ్యత వహించే డిఫాల్ట్ సిస్టమ్ అప్లికేషన్గా మారువేషంలో మోసపూరిత వ్యూహాలను ఉపయోగిస్తుంది. తరువాతి వైవిధ్యాలలో, మాల్వేర్ అడల్ట్ వీడియో కంటెంట్, బైడు వైమై మరియు అడోబ్ ఫ్లాష్ వంటి అప్లికేషన్లలో పొందుపరచబడింది. ముఖ్యంగా, ఈ రోగ్ యాప్లు అధికారిక Google Play Store ద్వారా పంపిణీ చేయబడినట్లు సూచించడానికి ఎటువంటి ఆధారాలు లేవు. WyrmSpy ద్వారా లక్ష్యంగా చేసుకున్న బాధితుల ఖచ్చితమైన సంఖ్య తెలియదు.
IP చిరునామా 121[.]42[.]149[.]52తో కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ని ఉపయోగించడం ద్వారా WyrmSpy మరియు APT41 మధ్య కనెక్షన్ స్పష్టంగా కనిపిస్తుంది. ఈ IP చిరునామా గతంలో APT41 సమూహం యొక్క అవస్థాపనతో అనుబంధించబడిన 'vpn2.umisen[.]com' డొమైన్కు అనుగుణంగా ఉంటుంది.
విజయవంతంగా ఇన్స్టాల్ చేసిన తర్వాత, WyrmSpy అనుచిత అనుమతులను అభ్యర్థిస్తుంది, ఇది రాజీపడిన Android పరికరంలో అధునాతన డేటా సేకరణ మరియు నిర్మూలన కార్యకలాపాలను అమలు చేయడానికి ముప్పును అనుమతిస్తుంది. మాల్వేర్ ఫోటోలు, స్థాన డేటా, SMS సందేశాలు మరియు ఆడియో రికార్డింగ్లతో సహా సున్నితమైన వినియోగదారు సమాచారాన్ని సేకరించగలదు.
C2 సర్వర్ నుండి డౌన్లోడ్ చేయబడిన మాడ్యూల్లను ఉపయోగించడం ద్వారా WyrmSpy దాని అనుకూలతను కూడా ప్రదర్శించింది. ఈ విధానం మాల్వేర్ని గుర్తించకుండా తప్పించుకుంటూ దాని డేటా సేకరణ సామర్థ్యాలను మెరుగుపరచుకోవడానికి అనుమతిస్తుంది.
అదనంగా, WyrmSpy అధునాతన కార్యాచరణలను ప్రదర్శిస్తుంది, ఎందుకంటే ఇది ఆండ్రాయిడ్ ఆపరేటింగ్ సిస్టమ్లోని సెక్యూరిటీ ఫీచర్ అయిన సెక్యూరిటీ-ఎన్హాన్స్డ్ లైనక్స్ (SELinux)ని నిలిపివేయగలదు. ఇంకా, ఇది రాజీపడిన మొబైల్ పరికరాలపై ఉన్నత అధికారాలను పొందేందుకు KingRoot11 వంటి రూటింగ్ సాధనాలను ఉపయోగించుకుంటుంది.