L'attore di minacce cinese prende di mira i cellulari con un nuovo spyware
Il gruppo stato-nazione altamente attivo noto come APT41 è stato associato a due tipi di spyware Android precedentemente sconosciuti chiamati WyrmSpy e DragonEgg.
APT41, noto anche come Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda e Winnti, opera almeno dal 2007 e ha preso di mira vari settori per il furto di proprietà intellettuale.
Recentemente, APT41 ha utilizzato uno strumento di Red Teaming open source chiamato Google Command and Control (GC2) in attacchi a media e piattaforme di lavoro a Taiwan e in Italia.
Vettore di infezione probabilmente basato su trucchi di ingegneria sociale
Il metodo iniziale di intrusione per la campagna del software di sorveglianza mobile non è chiaro, ma si sospetta che implichi tattiche di ingegneria sociale. WyrmSpy è stato inizialmente rilevato nel 2017, mentre DragonEgg è stato identificato per la prima volta all'inizio del 2021, con nuovi campioni di quest'ultimo scoperti solo nell'aprile 2023.
WyrmSpy spesso si maschera da app di sistema predefinita responsabile della visualizzazione delle notifiche. Tuttavia, le versioni successive del malware sono state impacchettate come app che impersonano contenuti video per adulti, Baidu Waimai e Adobe Flash. DragonEgg, d'altra parte, è stato distribuito tramite tastiere Android di terze parti e app di messaggistica come Telegram.
Non ci sono prove che queste app dannose siano state distribuite tramite il Google Play Store ufficiale.
La connessione tra WyrmSpy, DragonEgg e APT41 deriva dall'utilizzo di un server di comando e controllo (C2) con indirizzo IP 121.42.149[.]52, associato all'infrastruttura del gruppo.
Una volta installati, entrambi i ceppi di malware richiedono autorizzazioni intrusive e possiedono funzionalità avanzate di raccolta dati ed esfiltrazione, inclusa la raccolta di foto, posizioni, messaggi SMS e registrazioni audio degli utenti.
Il malware utilizza anche moduli scaricati da un server C2 che non è più operativo, consentendo la raccolta dei dati eludendo il rilevamento.
WyrmSpy ha la capacità di disabilitare Security-Enhanced Linux (SELinux) e utilizzare strumenti di rooting come KingRoot11 per ottenere privilegi elevati sui dispositivi compromessi. In particolare, DragonEgg stabilisce la comunicazione con il server C2 per recuperare un modulo secondario sconosciuto che si maschera da programma forense.