中国の攻撃者が新たなスパイウェアでモバイルを狙う

APT41 として知られる非常に活発な国家グループは、WyrmSpy と DragonEgg と呼ばれるこれまで知られていなかった 2 種類の Android スパイウェアに関連付けられています。

APT41 は、Axiom、Blackfly、Brass タイフーン、Bronze Atlas、HOODOO、Wicked Panda、Winnti としても知られ、少なくとも 2007 年から活動しており、さまざまな業界を知的財産窃盗の標的としてきました。

最近、APT41 は、台湾とイタリアのメディアや求人プラットフォームに対する攻撃で、Google Command and Control (GC2) と呼ばれるオープンソースのレッド チーム ツールを利用しました。

感染ベクトルはソーシャル エンジニアリングのトリックに基づいている可能性が高い

モバイル監視ウェア キャンペーンの最初の侵入方法は不明ですが、ソーシャル エンジニアリング戦術が関与している疑いがあります。 WyrmSpy は 2017 年に初めて検出され、DragonEgg は 2021 年初頭に初めて特定され、後者の新しいサンプルは 2023 年 4 月に発見されました。

WyrmSpy は、通知を表示するデフォルトのシステム アプリとして偽装することがよくあります。ただし、このマルウェアの新しいバージョンは、アダルト ビデオ コンテンツ、Baidu Waimai、Adobe Flash になりすましたアプリとしてパッケージ化されています。一方、DragonEgg は、サードパーティ製の Android キーボードや Telegram などのメッセージング アプリを通じて配布されています。

これらの悪意のあるアプリが公式の Google Play ストアを通じて配布されたという証拠はありません。

WyrmSpy、DragonEgg、および APT41 間の接続は、グループのインフラストラクチャに関連付けられた IP アドレス 121.42.149[.]52 を持つコマンド アンド コントロール (C2) サーバーの使用から生じます。

どちらのマルウェアも、インストールされると侵入許可を要求し、ユーザーの写真、位置情報、SMS メッセージ、音声録音などの高度なデータ収集および抽出機能を備えます。

このマルウェアは、稼働しなくなった C2 サーバーからダウンロードされたモジュールも利用し、検出を回避しながらデータ収集を可能にします。

WyrmSpy には、Security-Enhanced Linux (SELinux) を無効にし、KingRoot11 などの root 化ツールを利用して、侵害されたデバイス上で昇格された権限を取得する機能があります。特に、DragonEgg は C2 サーバーとの通信を確立して、フォレンジック プログラムを装った未知のセカンダリ モジュールを取得します。