WyrmSpy Mobile Malware
Ang prolific na nation-state na aktor na suportado ng China, APT41, ay kamakailang na-link sa pagtuklas ng dalawang dati nang hindi dokumentado na mga strain ng Android spyware na kilala bilang WyrmSpy at DragonEgg . Ang APT41 ay kilala sa kadalubhasaan nito sa pagsasamantala sa mga application na nakaharap sa web at paglusot sa mga tradisyonal na endpoint device.
Sa pamamagitan ng pagpapalawak ng arsenal nito ng malware upang maisama ang mga mobile device, malinaw na ipinapakita ng APT 41 ang kahalagahan ng mga mobile endpoint bilang mga high-value target na pabahay na hinahangad na corporate at personal na data. Itinatampok nito ang pagtaas ng kahalagahan ng pag-secure ng mga mobile device laban sa mga sopistikadong banta na dulot ng mga natatag na banta tulad ng APT 41.
Maaaring Ginamit ng mga Cybercriminal ang WyrmSpy sa loob ng maraming taon
Ang cybercrime outfit na APT41, na kinikilala rin ng iba't ibang pangalan tulad ng Axiom, Blackfly, Brass Typhoon (dating Barium), Bronze Atlas, HOODOO, Wicked Panda, at Winnti, ay tumatakbo na mula pa noong 2007, na nagpapakita ng patuloy na presensya sa cyber landscape. Ang sopistikadong threat actor na ito ay nagta-target sa iba't ibang industriya na may layuning magsagawa ng intelektwal na ari-arian at sensitibong impormasyon.
Sa mga nakalipas na panahon, naging responsable ang APT41 sa paglunsad ng mga pag-atake gamit ang isang open-source na red teaming tool na tinatawag na Google Command and Control (GC2). Ang mga pag-atake na ito ay partikular na itinuro sa media at mga platform ng trabaho sa Taiwan at Italy, na nagpapakita ng patuloy na nagbabagong mga taktika at target ng kolektibo.
Tulad ng para sa kanilang kampanya sa mobile surveillanceware, ang eksaktong paraan ng paunang panghihimasok ay nananatiling hindi isiniwalat, ngunit may mga hinala sa paggamit ng mga diskarte sa social engineering. Unang natukoy ang WyrmSpy noong 2017, na nagpapahiwatig ng matagal at patuloy na aktibidad ng grupo sa mobile realm. Kasunod nito, natukoy ang DragonEgg sa simula ng 2021, at ang mga bagong sample ng malware na ito ay na-obserbahan kamakailan noong Abril 2023, na binibigyang-diin ang patuloy na banta na dulot ng APT41.
Ang Mga Mapagbabantang Kakayahang Natagpuan sa WyrmSpy Android Malware
Gumagamit ang WyrmSpy ng mga mapanlinlang na taktika sa pamamagitan ng pagkukunwari sa sarili bilang isang default na application ng system na responsable sa pagpapakita ng mga notification ng user. Sa mga susunod na variation, ang malware ay na-embed sa mga application na nagpapanggap bilang pang-adult na video content, Baidu Waimai at Adobe Flash. Kapansin-pansin, walang katibayan na magmumungkahi na ang mga masasamang app na ito ay ipinamahagi sa pamamagitan ng opisyal na Google Play Store. Ang eksaktong bilang ng mga biktima na na-target ng WyrmSpy ay nananatiling hindi alam.
Ang koneksyon sa pagitan ng WyrmSpy at APT41 ay nagiging maliwanag sa pamamagitan ng paggamit nito ng isang Command-and-Control (C2) server na may IP address na 121[.]42[.]149[.]52. Ang IP address na ito ay tumutugma sa domain na 'vpn2.umisen[.]com' na dating nauugnay sa imprastraktura ng pangkat na APT41.
Kapag matagumpay na na-install, humihiling ang WyrmSpy ng mga mapanghimasok na pahintulot, na nagpapahintulot sa banta na magsagawa ng mga sopistikadong aktibidad sa pangongolekta at pag-exfiltration sa nakompromisong Android device. Ang malware ay may kakayahang kumuha ng sensitibong impormasyon ng user, kabilang ang mga larawan, data ng lokasyon, mga mensaheng SMS, at mga audio recording.
Ipinakita rin ng WyrmSpy ang kakayahang umangkop nito sa pamamagitan ng paggamit ng mga module na na-download mula sa isang C2 server. Binibigyang-daan ng diskarteng ito ang malware na pahusayin ang mga kakayahan sa pagkolekta ng data habang umiiwas sa pagtuklas.
Bukod pa rito, nagpapakita ang WyrmSpy ng mga advanced na functionality, dahil maaari nitong i-disable ang Security-Enhanced Linux (SELinux), isang feature na panseguridad sa loob ng Android operating system. Higit pa rito, sinasamantala nito ang mga tool sa pag-rooting tulad ng KingRoot11 upang makakuha ng mataas na mga pribilehiyo sa mga nakompromisong mobile device.
