Kinijos grėsmių aktorius taikosi į mobiliuosius telefonus su nauja šnipinėjimo programa

Labai aktyvi nacionalinės valstybės grupė, žinoma kaip APT41, buvo susieta su dviem anksčiau nežinomais Android šnipinėjimo programų tipais, vadinamais WyrmSpy ir DragonEgg.

APT41, taip pat žinomas kaip Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda ir Winnti, veikia mažiausiai nuo 2007 m. ir buvo nukreiptas į įvairias intelektinės nuosavybės vagysčių pramonės šakas.

Neseniai APT41 panaudojo atvirojo kodo raudonųjų komandų sudarymo įrankį, vadinamą „Google Command and Control“ (GC2), atakuodamas žiniasklaidą ir darbo platformas Taivane ir Italijoje.

Infekcijos vektorius tikėtinas remiantis socialinės inžinerijos gudrybėmis

Pradinis įsibrovimo į mobiliojo stebėjimo programinės įrangos kampaniją metodas yra neaiškus, tačiau įtariama, kad tai susiję su socialinės inžinerijos taktika. WyrmSpy iš pradžių buvo aptiktas 2017 m., o DragonEgg pirmą kartą buvo identifikuotas 2021 m. pradžioje, o nauji pastarojo pavyzdžiai buvo aptikti dar 2023 m. balandžio mėn.

WyrmSpy dažnai maskuojasi kaip numatytoji sistemos programa, atsakinga už pranešimų rodymą. Tačiau vėlesnės kenkėjiškos programos versijos buvo supakuotos kaip programos, apsimetinėjančios suaugusiesiems skirtu vaizdo įrašu, „Baidu Waimai“ ir „Adobe Flash“. Kita vertus, „DragonEgg“ buvo platinamas per trečiųjų šalių „Android“ klaviatūras ir pranešimų siuntimo programas, tokias kaip „Telegram“.

Nėra įrodymų, kad šios kenkėjiškos programos buvo platinamos per oficialią „Google Play“ parduotuvę.

Ryšys tarp WyrmSpy, DragonEgg ir APT41 atsiranda naudojant komandų ir valdymo (C2) serverį su IP adresu 121.42.149[.]52, susietą su grupės infrastruktūra.

Įdiegtos abi kenkėjiškų programų padermės reikalauja įsibrovėlių leidimų ir turi pažangias duomenų rinkimo ir išfiltravimo galimybes, įskaitant vartotojų nuotraukų, vietų, SMS žinučių ir garso įrašų rinkimą.

Kenkėjiška programinė įranga taip pat naudoja modulius, atsisiųstus iš C2 serverio, kuris nebeveikia, todėl galima rinkti duomenis išvengiant aptikimo.

„WyrmSpy“ turi galimybę išjungti patobulintą „Linux“ saugą (SELinux) ir naudoti įsišaknijimo įrankius, tokius kaip „KingRoot11“, kad įgytų aukštesnių privilegijų pažeistuose įrenginiuose. Pažymėtina, kad „DragonEgg“ užmezga ryšį su C2 serveriu, kad gautų nežinomą antrinį modulį, kuris yra kriminalistinė programa.