WyrmSpy 移動惡意軟件

多產的中國支持的民族國家攻擊者 APT41 最近與發現兩種以前未記錄的 Android 間諜軟件（即 WyrmSpy 和DragonEgg）有關。 APT41 以其在利用面向網絡的應用程序和滲透傳統端點設備方面的專業知識而聞名。

通過將惡意軟件庫擴展到包括移動設備， APT 41清楚地表明了移動端點作為保存令人垂涎的企業和個人數據的高價值目標的重要性。這凸顯了保護移動設備免受 APT 41 等既定威脅行為者造成的複雜威脅的重要性日益增加。

WyrmSpy 可能已被網絡犯罪分子使用多年

網絡犯罪組織 APT41 也被稱為 Axiom、Blackfly、Brass Typhoon（以前稱為 Barium）、Bronze Atlas、HOODOO、Wicked Panda 和 Winnti 等各種名稱，該組織至少自 2007 年以來一直在運作，在網絡環境中表現出持久的存在。這個複雜的威脅行為者一直針對各個行業，目的是竊取知識產權和敏感信息。

最近，APT41 一直負責使用名為 Google Command and Control (GC2) 的開源紅隊工具發起攻擊。這些攻擊專門針對台灣和意大利的媒體和工作平台，展示了該組織不斷變化的策略和目標。

至於他們的移動監控軟件活動，最初入侵的確切方法仍未公開，但有人懷疑他們使用了社會工程技術。 WyrmSpy 早在 2017 年就首次被發現，表明該組織在移動領域長期持續活動。隨後，DragonEgg 在 2021 年初被識別，並且最近在 2023 年 4 月觀察到了該惡意軟件的新樣本，強調了 APT41 構成的持續威脅。

WyrmSpy Android 惡意軟件中發現的威脅功能

WyrmSpy 通過將自己偽裝成負責顯示用戶通知的默認系統應用程序來採用欺騙策略。在後來的變體中，該惡意軟件已嵌入到冒充成人視頻內容的應用程序、百度外賣和 Adobe Flash 中。值得注意的是，沒有證據表明這些流氓應用程序曾經通過官方 Google Play 商店分發。 WyrmSpy 所針對的受害者的確切數量仍不清楚。

WyrmSpy 和 APT41 之間的連接通過使用 IP 地址為 121[.]42[.]149[.]52 的命令與控制 (C2) 服務器變得顯而易見。此 IP 地址對應於先前與 APT41 組的基礎設施關聯的域“vpn2.umisen[.]com”。

成功安裝後，WyrmSpy 會請求侵入權限，從而允許威脅在受感染的 Android 設備上執行複雜的數據收集和滲透活動。該惡意軟件能夠收集敏感的用戶信息，包括照片、位置數據、短信和錄音。

WyrmSpy 還通過利用從 C2 服務器下載的模塊展示了其適應性。這種方法允許惡意軟件增強其數據收集能力，同時逃避檢測。

此外，WyrmSpy 顯示了高級功能，因為它可以禁用安全增強型 Linux (SELinux)，這是 Android 操作系統中的一項安全功能。此外，它還利用 KingRoot11 等 root 工具來獲取受感染移動設備的提升權限。