Зловмисне програмне забезпечення для мобільних пристроїв WyrmSpy
Плідну державну компанію APT41, яку підтримує Китай, нещодавно було пов’язано з відкриттям двох раніше незадокументованих типів шпигунського програмного забезпечення Android, відомих як WyrmSpy і DragonEgg . APT41 відомий своїм досвідом у використанні веб-додатків і проникненні в традиційні кінцеві пристрої.
Розширюючи свій арсенал зловмисного програмного забезпечення на мобільні пристрої, APT 41 чітко демонструє важливість мобільних кінцевих точок як цінних цілей, що містять бажані корпоративні та особисті дані. Це підкреслює зростаючу важливість захисту мобільних пристроїв від складних загроз, створених відомими загрозниками, такими як APT 41.
WyrmSpy, можливо, використовувався кіберзлочинцями протягом багатьох років
Кіберзлочинна група APT41, також відома під різними іменами, такими як Axiom, Blackfly, Brass Typhoon (раніше Barium), Bronze Atlas, HOODOO, Wicked Panda та Winnti, працює принаймні з 2007 року, демонструючи постійну присутність у кібернетичному середовищі. Цей складний загрозливий діяч націлився на різні галузі з метою управління інтелектуальною власністю та конфіденційною інформацією.
Останнім часом APT41 був відповідальним за запуск атак із використанням відкритого інструменту Red Teaming під назвою Google Command and Control (GC2). Ці атаки були спеціально спрямовані на ЗМІ та платформи з працевлаштування на Тайвані та Італії, демонструючи тактику та цілі колективу, що постійно розвиваються.
Що стосується їх кампанії програмного забезпечення мобільного спостереження, точний метод початкового вторгнення залишається нерозкритим, але є підозри щодо використання методів соціальної інженерії. WyrmSpy вперше було виявлено ще в 2017 році, що вказує на тривалу та постійну діяльність групи в мобільній сфері. Згодом DragonEgg було ідентифіковано на початку 2021 року, а нові зразки цього зловмисного програмного забезпечення було виявлено нещодавно у квітні 2023 року, що підкреслює постійну загрозу, яку представляє APT41.
Загрозливі здібності, виявлені у зловмисному ПЗ WyrmSpy для Android
WyrmSpy використовує оманливу тактику, маскуючись під системну програму за замовчуванням, відповідальну за відображення сповіщень користувачів. У пізніших варіантах зловмисне програмне забезпечення було вбудовано в додатки, що видають себе за відеоконтент для дорослих, Baidu Waimai та Adobe Flash. Примітно, що немає жодних доказів того, що ці шахрайські програми коли-небудь поширювалися через офіційний магазин Google Play. Точна кількість жертв WyrmSpy залишається невідомою.
Зв’язок між WyrmSpy і APT41 стає очевидним через використання ним сервера командування та керування (C2) з IP-адресою 121[.]42[.]149[.]52. Ця IP-адреса відповідає домену «vpn2.umisen[.]com», який раніше був пов’язаний з інфраструктурою групи APT41.
Після успішного встановлення WyrmSpy запитує нав’язливі дозволи, що дозволяє загрозі виконувати складні дії зі збору та викрадання даних на скомпрометованому пристрої Android. Зловмисне програмне забезпечення здатне збирати конфіденційну інформацію користувача, включаючи фотографії, дані про місцезнаходження, SMS-повідомлення та аудіозаписи.
WyrmSpy також продемонстрував свою адаптивність, використовуючи модулі, які завантажуються з сервера C2. Такий підхід дозволяє зловмисному програмному забезпеченню розширити свої можливості збору даних, уникаючи виявлення.
Крім того, WyrmSpy відображає розширені функції, оскільки він може вимкнути Security-Enhanced Linux (SELinux), функцію безпеки в операційній системі Android. Крім того, він використовує такі інструменти рутингу, як KingRoot11, щоб отримати підвищені привілеї на скомпрометованих мобільних пристроях.
