Kínai fenyegetőző színész új kémprogramokkal célozza meg a mobilokat
Az APT41 néven ismert, rendkívül aktív nemzetállami csoportot két korábban ismeretlen típusú Android spyware-hez, a WyrmSpy-hez és a DragonEgg-hez hozták kapcsolatba.
Az APT41, más néven Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda és Winnti, legalább 2007 óta működik, és különböző iparágakat céloz meg a szellemi tulajdon ellopásával kapcsolatban.
A közelmúltban az APT41 a Google Command and Control (GC2) nevű nyílt forráskódú, vörös csapatépítő eszközt használta a média és munkaplatformok elleni támadásokban Tajvanon és Olaszországban.
A fertőzés vektora társadalmi tervezési trükkök alapján valószínű
A mobil felügyeleti szoftverkampány kezdeti behatolási módja nem világos, de feltételezhető, hogy szociális tervezési taktikát foglal magában. A WyrmSpy-t eredetileg 2017-ben, míg a DragonEgg-et 2021 elején azonosították először, az utóbbiból pedig újabb mintákat fedeztek fel 2023 áprilisában.
A WyrmSpy gyakran az értesítések megjelenítéséért felelős alapértelmezett rendszeralkalmazásnak álcázza magát. A rosszindulatú program későbbi verzióit azonban felnőtteknek szóló videótartalomnak megszemélyesítő alkalmazásként, a Baidu Waimai és az Adobe Flash formájában csomagolták. A DragonEgg-et viszont harmadik féltől származó Android billentyűzeteken és üzenetküldő alkalmazásokon, például a Telegramon keresztül terjesztették.
Nincs bizonyíték arra, hogy ezeket a rosszindulatú alkalmazásokat a hivatalos Google Play Áruházban terjesztették volna.
A WyrmSpy, a DragonEgg és az APT41 közötti kapcsolat a 121.42.149[.]52 IP-című, a csoport infrastruktúrájához társított parancs- és vezérlő (C2) szerver használatából ered.
A telepítést követően a rosszindulatú programok mindkét törzse tolakodó engedélyeket kér, és fejlett adatgyűjtési és kiszűrési képességekkel rendelkezik, beleértve a felhasználók fényképeinek, helyeinek, SMS-üzeneteinek és hangfelvételeinek összegyűjtését.
A kártevő a már nem működő C2-szerverről letöltött modulokat is felhasznál, lehetővé téve az adatgyűjtést, miközben elkerüli az észlelést.
A WyrmSpy képes letiltani a Security-Enhanced Linuxot (SELinux), és olyan rootoló eszközöket használ, mint a KingRoot11, hogy magasabb jogosultságokat szerezzen a veszélyeztetett eszközökön. Nevezetesen, a DragonEgg kommunikációt létesít a C2 szerverrel, hogy lekérjen egy ismeretlen másodlagos modult, amely kriminalisztikai programnak álcázza magát.