Kinesisk trusselskuespiller målretter mod mobiler med ny spyware

Den meget aktive nationalstatsgruppe kendt som APT41 er blevet forbundet med to hidtil ukendte typer Android-spyware kaldet WyrmSpy og DragonEgg.

APT41, også kendt som Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda og Winnti, har været i drift siden mindst 2007 og har målrettet forskellige industrier for tyveri af intellektuel ejendom.

For nylig brugte APT41 et open source red teaming-værktøj kaldet Google Command and Control (GC2) i angreb på medier og jobplatforme i Taiwan og Italien.

Infektionsvektor Sandsynligvis Baseret på Social Engineering Tricks

Den indledende metode til indtrængen for mobilovervågningskampagnen er uklar, men mistænkes for at involvere social engineering taktik. WyrmSpy blev oprindeligt opdaget i 2017, mens DragonEgg først blev identificeret i begyndelsen af 2021, med nye prøver af sidstnævnte opdaget så sent som i april 2023.

WyrmSpy forklæder sig ofte som en standard systemapp, der er ansvarlig for at vise meddelelser. Senere versioner af malware er dog blevet pakket som apps, der efterligner voksenvideoindhold, Baidu Waimai og Adobe Flash. DragonEgg er på den anden side blevet distribueret gennem tredjeparts Android-tastaturer og beskedapps som Telegram.

Der er ingen beviser for, at disse ondsindede apps blev distribueret gennem den officielle Google Play Butik.

Forbindelsen mellem WyrmSpy, DragonEgg og APT41 stammer fra brugen af en kommando-og-kontrol-server (C2) med IP-adressen 121.42.149[.]52, forbundet med gruppens infrastruktur.

Når de er installeret, anmoder begge stammer af malware om påtrængende tilladelser og besidder avancerede dataindsamlings- og eksfiltreringsfunktioner, herunder indsamling af brugeres billeder, placeringer, SMS-beskeder og lydoptagelser.

Malwaren anvender også moduler, der er downloadet fra en C2-server, der ikke længere er operationel, hvilket muliggør dataindsamling, samtidig med at man undgår opdagelse.

WyrmSpy har evnen til at deaktivere Security-Enhanced Linux (SELinux) og bruge rooting-værktøjer som KingRoot11 til at opnå forhøjede privilegier på kompromitterede enheder. Især etablerer DragonEgg kommunikation med C2-serveren for at hente et ukendt sekundært modul, der udgiver sig som et retsmedicinsk program.