WyrmSpy มัลแวร์บนมือถือ

APT41 ซึ่งเป็นนักแสดงระดับรัฐที่ได้รับการสนับสนุนจากจีน ได้รับการเชื่อมโยงกับการค้นพบสปายแวร์ Android สองสายพันธุ์ที่ไม่มีเอกสารก่อนหน้านี้ ซึ่งรู้จักกันในชื่อ WyrmSpy และ DragonEgg APT41 มีชื่อเสียงในด้านความเชี่ยวชาญในการใช้ประโยชน์จากแอปพลิเคชันเว็บและแทรกซึมอุปกรณ์ปลายทางแบบดั้งเดิม

ด้วยการขยายคลังแสงของมัลแวร์ให้ครอบคลุมอุปกรณ์เคลื่อนที่ APT 41 แสดงให้เห็นอย่างชัดเจนถึงความสำคัญของอุปกรณ์ปลายทางสำหรับอุปกรณ์เคลื่อนที่ เนื่องจากเป้าหมายที่มีมูลค่าสูงซึ่งเก็บข้อมูลองค์กรและข้อมูลส่วนบุคคลที่เป็นที่ต้องการ สิ่งนี้เน้นย้ำถึงความสำคัญที่เพิ่มขึ้นของการรักษาความปลอดภัยอุปกรณ์พกพาจากภัยคุกคามที่ซับซ้อนซึ่งเกิดจากผู้คุกคามที่จัดตั้งขึ้น เช่น APT 41

WyrmSpy อาจถูกใช้โดยอาชญากรไซเบอร์เป็นเวลาหลายปี

ชุดอาชญากรไซเบอร์ APT41 ซึ่งเป็นที่รู้จักในชื่อต่างๆ เช่น Axiom, Blackfly, Brass Typhoon (เดิมชื่อ Barium), Bronze Atlas, HOODOO, Wicked Panda และ Winnti ได้ดำเนินการมาตั้งแต่ปี 2550 เป็นอย่างน้อย ซึ่งแสดงให้เห็นอย่างต่อเนื่องในภูมิทัศน์ทางไซเบอร์ ผู้คุกคามที่มีความซับซ้อนนี้ได้กำหนดเป้าหมายไปยังอุตสาหกรรมต่างๆ โดยมีจุดประสงค์เพื่อดำเนินการเกี่ยวกับทรัพย์สินทางปัญญาและข้อมูลที่ละเอียดอ่อน

เมื่อเร็ว ๆ นี้ APT41 เป็นผู้รับผิดชอบในการเปิดตัวการโจมตีโดยใช้เครื่องมือโอเพ่นซอร์ส Red teaming ที่เรียกว่า Google Command and Control (GC2) การโจมตีเหล่านี้มุ่งเป้าไปที่สื่อและเวทีงานในไต้หวันและอิตาลีโดยเฉพาะ แสดงให้เห็นถึงกลยุทธ์และเป้าหมายที่พัฒนาตลอดเวลาของกลุ่ม

สำหรับแคมเปญซอฟต์แวร์เฝ้าระวังทางมือถือ วิธีการที่แน่นอนในการบุกรุกครั้งแรกยังไม่เปิดเผย แต่มีข้อสงสัยเกี่ยวกับการใช้เทคนิควิศวกรรมสังคม WyrmSpy ถูกตรวจพบครั้งแรกเมื่อช่วงต้นปี 2560 ซึ่งบ่งชี้ว่ากลุ่มมีกิจกรรมที่ยืดเยื้อและต่อเนื่องในขอบเขตมือถือ ต่อจากนั้น DragonEgg ถูกระบุเมื่อต้นปี 2564 และมีการตรวจพบตัวอย่างใหม่ของมัลแวร์นี้ในเดือนเมษายน 2566 โดยเน้นย้ำถึงภัยคุกคามอย่างต่อเนื่องที่เกิดจาก APT41

ความสามารถที่เป็นอันตรายที่พบในมัลแวร์ WyrmSpy Android

WyrmSpy ใช้กลยุทธ์หลอกลวงโดยปลอมตัวเป็นแอปพลิเคชันระบบเริ่มต้นที่รับผิดชอบในการแสดงการแจ้งเตือนของผู้ใช้ ในรูปแบบต่อมา มัลแวร์ถูกฝังลงในแอปพลิเคชันที่ปลอมแปลงเป็นเนื้อหาวิดีโอสำหรับผู้ใหญ่ Baidu Waimai และ Adobe Flash โดยเฉพาะอย่างยิ่งไม่มีหลักฐานบ่งชี้ว่าแอปหลอกลวงเหล่านี้เคยเผยแพร่ผ่าน Google Play Store อย่างเป็นทางการ ยังไม่ทราบจำนวนเหยื่อที่แน่นอนที่ WyrmSpy ตกเป็นเป้าหมาย

การเชื่อมต่อระหว่าง WyrmSpy และ APT41 นั้นชัดเจนผ่านการใช้เซิร์ฟเวอร์ Command-and-Control (C2) ที่มีที่อยู่ IP 121[.]42[.]149[.]52 ที่อยู่ IP นี้สอดคล้องกับโดเมน 'vpn2.umisen[.]com' ที่เคยเชื่อมโยงกับโครงสร้างพื้นฐานของกลุ่ม APT41

เมื่อติดตั้งสำเร็จ WyrmSpy จะขอสิทธิ์การล่วงล้ำ อนุญาตให้ภัยคุกคามดำเนินการรวบรวมข้อมูลที่ซับซ้อนและกิจกรรมการกรองบนอุปกรณ์ Android ที่ถูกบุกรุก มัลแวร์มีความสามารถในการรวบรวมข้อมูลผู้ใช้ที่ละเอียดอ่อน รวมถึงภาพถ่าย ข้อมูลตำแหน่ง ข้อความ SMS และการบันทึกเสียง

WyrmSpy ยังแสดงให้เห็นถึงความสามารถในการปรับตัวโดยใช้โมดูลที่ดาวน์โหลดจากเซิร์ฟเวอร์ C2 วิธีการนี้ช่วยให้มัลแวร์สามารถเพิ่มความสามารถในการรวบรวมข้อมูลในขณะที่หลบเลี่ยงการตรวจจับ

นอกจากนี้ WyrmSpy ยังแสดงฟังก์ชันการทำงานขั้นสูง เนื่องจากสามารถปิดใช้งาน Security-Enhanced Linux (SELinux) ซึ่งเป็นคุณลักษณะด้านความปลอดภัยภายในระบบปฏิบัติการ Android นอกจากนี้ยังใช้ประโยชน์จากเครื่องมือรูทเช่น KingRoot11 เพื่อรับสิทธิ์ขั้นสูงบนอุปกรณ์มือถือที่ถูกบุกรุก