Κινέζος ηθοποιός απειλών στοχεύει κινητά με νέο λογισμικό κατασκοπείας

Η εξαιρετικά ενεργή ομάδα εθνικών κρατών που είναι γνωστή ως APT41 έχει συσχετιστεί με δύο προηγουμένως άγνωστους τύπους λογισμικού κατασκοπείας Android που ονομάζονται WyrmSpy και DragonEgg.

Το APT41, γνωστό και ως Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda και Winnti, λειτουργεί τουλάχιστον από το 2007 και έχει στοχεύσει διάφορες βιομηχανίες για κλοπή πνευματικής ιδιοκτησίας.

Πρόσφατα, το APT41 χρησιμοποίησε ένα κόκκινο εργαλείο ομαδοποίησης ανοιχτού κώδικα που ονομάζεται Google Command and Control (GC2) σε επιθέσεις σε μέσα ενημέρωσης και πλατφόρμες εργασίας στην Ταϊβάν και την Ιταλία.

Διάνυσμα μόλυνσης που είναι πιθανό να βασίζεται σε κόλπα κοινωνικής μηχανικής

Η αρχική μέθοδος εισβολής για την εκστρατεία κινητού λογισμικού επιτήρησης είναι ασαφής, αλλά υπάρχει υποψία ότι περιλαμβάνει τακτικές κοινωνικής μηχανικής. Το WyrmSpy εντοπίστηκε αρχικά το 2017, ενώ το DragonEgg εντοπίστηκε για πρώτη φορά στις αρχές του 2021, με νέα δείγματα του τελευταίου να ανακαλύφθηκαν μόλις τον Απρίλιο του 2023.

Το WyrmSpy συχνά μεταμφιέζεται ως μια προεπιλεγμένη εφαρμογή συστήματος που είναι υπεύθυνη για την εμφάνιση ειδοποιήσεων. Ωστόσο, νεότερες εκδόσεις του κακόβουλου λογισμικού έχουν συσκευαστεί ως εφαρμογές που υποδύονται περιεχόμενο βίντεο για ενηλίκους, Baidu Waimai και Adobe Flash. Το DragonEgg, από την άλλη πλευρά, έχει διανεμηθεί μέσω πληκτρολογίων Android τρίτων κατασκευαστών και εφαρμογών ανταλλαγής μηνυμάτων όπως το Telegram.

Δεν υπάρχουν στοιχεία ότι αυτές οι κακόβουλες εφαρμογές διανεμήθηκαν μέσω του επίσημου Google Play Store.

Η σύνδεση μεταξύ των WyrmSpy, DragonEgg και APT41 προέρχεται από τη χρήση ενός διακομιστή εντολών και ελέγχου (C2) με τη διεύθυνση IP 121.42.149[.]52, που σχετίζεται με την υποδομή της ομάδας.

Μόλις εγκατασταθούν, και τα δύο είδη κακόβουλου λογισμικού ζητούν παρεμβατικές άδειες και διαθέτουν προηγμένες δυνατότητες συλλογής και διήθησης δεδομένων, συμπεριλαμβανομένης της συλλογής φωτογραφιών, τοποθεσιών, μηνυμάτων SMS και ηχογραφήσεων των χρηστών.

Το κακόβουλο λογισμικό χρησιμοποιεί επίσης ενότητες που έχουν ληφθεί από έναν διακομιστή C2 που δεν είναι πλέον λειτουργικός, επιτρέποντας τη συλλογή δεδομένων ενώ αποφεύγει τον εντοπισμό.

Το WyrmSpy έχει τη δυνατότητα να απενεργοποιεί το Linux ενισχυμένο με ασφάλεια (SELinux) και να χρησιμοποιεί εργαλεία ριζοβολίας όπως το KingRoot11 για να αποκτά αυξημένα προνόμια σε παραβιασμένες συσκευές. Συγκεκριμένα, το DragonEgg δημιουργεί επικοινωνία με τον διακομιστή C2 για να ανακτήσει μια άγνωστη δευτερεύουσα μονάδα που μεταμφιέζεται σε εγκληματολογικό πρόγραμμα.