Chiński cyberprzestępca atakuje telefony komórkowe za pomocą nowego oprogramowania szpiegującego

Bardzo aktywna grupa państw narodowych, znana jako APT41, była powiązana z dwoma wcześniej nieznanymi typami oprogramowania szpiegującego dla Androida, zwanymi WyrmSpy i DragonEgg.

APT41, znany również jako Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda i Winnti, działa od co najmniej 2007 roku i atakuje różne branże w celu kradzieży własności intelektualnej.

Niedawno APT41 wykorzystał czerwone narzędzie do pracy zespołowej o otwartym kodzie źródłowym o nazwie Google Command and Control (GC2) w atakach na media i platformy pracy na Tajwanie i we Włoszech.

Wektor infekcji prawdopodobnie oparty na sztuczkach socjotechnicznych

Początkowa metoda włamań w kampanii mobilnego oprogramowania monitorującego jest niejasna, ale podejrzewa się, że obejmuje taktykę socjotechniczną. WyrmSpy został pierwotnie wykryty w 2017 r., natomiast DragonEgg został po raz pierwszy zidentyfikowany na początku 2021 r., a nowe próbki tego ostatniego odkryto dopiero w kwietniu 2023 r.

WyrmSpy często podszywa się pod domyślną aplikację systemową odpowiedzialną za wyświetlanie powiadomień. Jednak późniejsze wersje tego złośliwego oprogramowania były pakowane jako aplikacje podszywające się pod treści wideo dla dorosłych, Baidu Waimai i Adobe Flash. Z drugiej strony DragonEgg był dystrybuowany za pośrednictwem zewnętrznych klawiatur Androida i aplikacji do przesyłania wiadomości, takich jak Telegram.

Nie ma dowodów na to, że te złośliwe aplikacje były dystrybuowane za pośrednictwem oficjalnego sklepu Google Play.

Połączenie między WyrmSpy, DragonEgg i APT41 wynika z wykorzystania serwera dowodzenia i kontroli (C2) o adresie IP 121.42.149[.]52, powiązanego z infrastrukturą grupy.

Po zainstalowaniu oba rodzaje złośliwego oprogramowania żądają natrętnych uprawnień i posiadają zaawansowane możliwości gromadzenia i eksfiltracji danych, w tym gromadzenia zdjęć użytkowników, lokalizacji, wiadomości SMS i nagrań dźwiękowych.

Szkodliwe oprogramowanie wykorzystuje również moduły pobrane z serwera C2, który już nie działa, umożliwiając gromadzenie danych podczas unikania wykrycia.

WyrmSpy ma możliwość wyłączenia Security-Enhanced Linux (SELinux) i wykorzystania narzędzi do rootowania, takich jak KingRoot11, w celu uzyskania podwyższonych uprawnień na zaatakowanych urządzeniach. Warto zauważyć, że DragonEgg nawiązuje komunikację z serwerem C2 w celu odzyskania nieznanego modułu dodatkowego, który udaje program kryminalistyczny.