Actor de amenazas chino apunta a móviles con nuevo spyware
El grupo de estado-nación altamente activo conocido como APT41 se ha asociado con dos tipos de spyware para Android previamente desconocidos llamados WyrmSpy y DragonEgg.
APT41, también conocido como Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda y Winnti, ha estado operando desde al menos 2007 y se ha dirigido a varias industrias por robo de propiedad intelectual.
Recientemente, APT41 utilizó una herramienta de red teaming de código abierto llamada Google Command and Control (GC2) en ataques a medios y plataformas de trabajo en Taiwán e Italia.
Es probable que el vector de infección se base en trucos de ingeniería social
El método inicial de intrusión para la campaña de software de vigilancia móvil no está claro, pero se sospecha que involucra tácticas de ingeniería social. WyrmSpy se detectó inicialmente en 2017, mientras que DragonEgg se identificó por primera vez a principios de 2021, y se descubrieron nuevas muestras de este último en abril de 2023.
WyrmSpy a menudo se disfraza como una aplicación de sistema predeterminada responsable de mostrar notificaciones. Sin embargo, las versiones posteriores del malware se han empaquetado como aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash. DragonEgg, por otro lado, se ha distribuido a través de teclados Android de terceros y aplicaciones de mensajería como Telegram.
No hay evidencia de que estas aplicaciones maliciosas se hayan distribuido a través de la tienda oficial de Google Play.
La conexión entre WyrmSpy, DragonEgg y APT41 surge del uso de un servidor de comando y control (C2) con la dirección IP 121.42.149[.]52, asociado con la infraestructura del grupo.
Una vez instaladas, ambas cepas de malware solicitan permisos intrusivos y poseen capacidades avanzadas de recopilación y exfiltración de datos, incluida la recopilación de fotos, ubicaciones, mensajes SMS y grabaciones de audio de los usuarios.
El malware también utiliza módulos descargados de un servidor C2 que ya no está operativo, lo que permite la recopilación de datos mientras evade la detección.
WyrmSpy tiene la capacidad de deshabilitar Linux con seguridad mejorada (SELinux) y utilizar herramientas de enraizamiento como KingRoot11 para obtener privilegios elevados en dispositivos comprometidos. En particular, DragonEgg establece comunicación con el servidor C2 para recuperar un módulo secundario desconocido que se hace pasar por un programa forense.
