Phần mềm độc hại di động WyrmSpy
Diễn viên nhà nước quốc gia được Trung Quốc hậu thuẫn, APT41, gần đây đã được liên kết với việc phát hiện ra hai chủng phần mềm gián điệp Android không có giấy tờ trước đó được gọi là WyrmSpy và DragonEgg . APT41 nổi tiếng về chuyên môn trong việc khai thác các ứng dụng giao diện web và xâm nhập vào các thiết bị đầu cuối truyền thống.
Bằng cách mở rộng kho phần mềm độc hại của mình để bao gồm các thiết bị di động, APT 41 thể hiện rõ tầm quan trọng của các thiết bị đầu cuối di động khi các mục tiêu có giá trị cao chứa dữ liệu cá nhân và công ty được thèm muốn. Điều này nhấn mạnh tầm quan trọng ngày càng tăng của việc bảo mật các thiết bị di động trước các mối đe dọa tinh vi do các tác nhân đe dọa đã có uy tín như APT 41 gây ra.
WyrmSpy có thể đã được tội phạm mạng sử dụng trong nhiều năm
Tổ chức tội phạm mạng APT41, còn được biết đến với nhiều tên gọi khác nhau như Axiom, Blackfly, Brass Typhoon (trước đây là Barium), Bronze Atlas, HOODOO, Wicked Panda và Winnti, đã hoạt động ít nhất từ năm 2007, cho thấy sự hiện diện liên tục trong bối cảnh mạng. Tác nhân đe dọa tinh vi này đã nhắm mục tiêu vào các ngành công nghiệp khác nhau với mục đích tiến hành sở hữu trí tuệ và thông tin nhạy cảm.
Trong thời gian gần đây, APT41 chịu trách nhiệm phát động các cuộc tấn công sử dụng công cụ hợp tác màu đỏ mã nguồn mở có tên Google Command and Control (GC2). Những cuộc tấn công này được nhắm mục tiêu cụ thể vào các nền tảng truyền thông và công việc ở Đài Loan và Ý, thể hiện các chiến thuật và mục tiêu không ngừng phát triển của tập thể.
Đối với chiến dịch phần mềm giám sát di động của họ, phương pháp xâm nhập ban đầu chính xác vẫn chưa được tiết lộ, nhưng có những nghi ngờ về việc sử dụng các kỹ thuật kỹ thuật xã hội. WyrmSpy lần đầu tiên được phát hiện vào đầu năm 2017, cho thấy các hoạt động kéo dài và liên tục của nhóm trong lĩnh vực di động. Sau đó, DragonEgg đã được xác định vào đầu năm 2021 và các mẫu mới của phần mềm độc hại này đã được quan sát gần đây vào tháng 4 năm 2023, nhấn mạnh mối đe dọa đang diễn ra do APT41 gây ra.
Khả năng đe dọa được tìm thấy trong phần mềm độc hại Android WyrmSpy
WyrmSpy sử dụng các chiến thuật lừa đảo bằng cách ngụy trang thành một ứng dụng hệ thống mặc định chịu trách nhiệm hiển thị thông báo của người dùng. Trong các biến thể sau này, phần mềm độc hại đã được nhúng vào các ứng dụng giả làm nội dung video người lớn, Baidu Waimai và Adobe Flash. Đáng chú ý, không có bằng chứng nào cho thấy những ứng dụng giả mạo này đã từng được phân phối thông qua Cửa hàng Google Play chính thức. Số nạn nhân chính xác mà WyrmSpy nhắm đến vẫn chưa được biết.
Mối liên hệ giữa WyrmSpy và APT41 trở nên rõ ràng thông qua việc sử dụng máy chủ Command-and-Control (C2) có địa chỉ IP 121[.]42[.]149[.]52. Địa chỉ IP này tương ứng với tên miền 'vpn2.umisen[.]com' đã được liên kết trước đó với cơ sở hạ tầng của nhóm APT41.
Sau khi cài đặt thành công, WyrmSpy yêu cầu quyền xâm nhập, cho phép mối đe dọa thực hiện các hoạt động thu thập và đánh cắp dữ liệu phức tạp trên thiết bị Android bị xâm nhập. Phần mềm độc hại có khả năng thu thập thông tin nhạy cảm của người dùng, bao gồm ảnh, dữ liệu vị trí, tin nhắn SMS và bản ghi âm.
WyrmSpy cũng đã chứng minh khả năng thích ứng của mình bằng cách sử dụng các mô-đun được tải xuống từ máy chủ C2. Cách tiếp cận này cho phép phần mềm độc hại tăng cường khả năng thu thập dữ liệu của nó trong khi tránh bị phát hiện.
Ngoài ra, WyrmSpy hiển thị các chức năng nâng cao, vì nó có thể vô hiệu hóa Linux được tăng cường bảo mật (SELinux), một tính năng bảo mật trong hệ điều hành Android. Hơn nữa, nó khai thác các công cụ root như KingRoot11 để giành được các đặc quyền nâng cao trên các thiết bị di động bị xâm nhập.
