Kinesisk trusselskuespiller retter seg mot mobiler med ny spionvare

Den svært aktive nasjonalstatsgruppen kjent som APT41 har blitt assosiert med to tidligere ukjente typer Android-spyware kalt WyrmSpy og DragonEgg.

APT41, også kjent som Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda og Winnti, har vært i drift siden minst 2007 og har målrettet ulike bransjer for tyveri av intellektuell eiendom.

Nylig brukte APT41 et åpen kildekode rødt teaming-verktøy kalt Google Command and Control (GC2) i angrep på media og jobbplattformer i Taiwan og Italia.

Infeksjonsvektor sannsynligvis basert på sosiale ingeniørtriks

Den første inntrengningsmetoden for mobilovervåkingskampanjen er uklar, men mistenkes å involvere sosial ingeniør-taktikk. WyrmSpy ble opprinnelig oppdaget i 2017, mens DragonEgg først ble identifisert tidlig i 2021, med nye prøver av sistnevnte oppdaget så sent som i april 2023.

WyrmSpy forkler seg ofte som en standard systemapp som er ansvarlig for å vise varsler. Imidlertid har senere versjoner av skadelig programvare blitt pakket som apper som utgir seg for voksent videoinnhold, Baidu Waimai og Adobe Flash. DragonEgg, på den annen side, har blitt distribuert gjennom tredjeparts Android-tastaturer og meldingsapper som Telegram.

Det er ingen bevis for at disse ondsinnede appene ble distribuert gjennom den offisielle Google Play-butikken.

Forbindelsen mellom WyrmSpy, DragonEgg og APT41 stammer fra bruken av en kommando-og-kontroll-server (C2) med IP-adressen 121.42.149[.]52, assosiert med gruppens infrastruktur.

Når de er installert, ber begge stammene av skadelig programvare om påtrengende tillatelser og har avanserte datainnsamlings- og eksfiltreringsmuligheter, inkludert innsamling av brukeres bilder, plasseringer, SMS-meldinger og lydopptak.

Skadevaren bruker også moduler som er lastet ned fra en C2-server som ikke lenger er operativ, noe som muliggjør datainnsamling samtidig som den unngår oppdagelse.

WyrmSpy har muligheten til å deaktivere Security-Enhanced Linux (SELinux) og bruke rooting-verktøy som KingRoot11 for å få økte privilegier på kompromitterte enheter. Spesielt etablerer DragonEgg kommunikasjon med C2-serveren for å hente en ukjent sekundærmodul som utgir seg for å være et rettsmedisinsk program.