Ator de ameaças chinês ataca celulares com novo spyware
O grupo de estado-nação altamente ativo conhecido como APT41 foi associado a dois tipos desconhecidos de spyware Android chamados WyrmSpy e DragonEgg.
O APT41, também conhecido como Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda e Winnti, opera desde pelo menos 2007 e tem como alvo vários setores para roubo de propriedade intelectual.
Recentemente, o APT41 utilizou uma ferramenta de red teaming de código aberto chamada Google Command and Control (GC2) em ataques a plataformas de mídia e empregos em Taiwan e na Itália.
Vetor de infecção provavelmente baseado em truques de engenharia social
O método inicial de invasão para a campanha de vigilância móvel não é claro, mas suspeita-se que envolva táticas de engenharia social. O WyrmSpy foi detectado inicialmente em 2017, enquanto o DragonEgg foi identificado pela primeira vez no início de 2021, com novas amostras deste último descobertas em abril de 2023.
O WyrmSpy geralmente se disfarça como um aplicativo de sistema padrão responsável por exibir notificações. No entanto, versões posteriores do malware foram empacotadas como aplicativos que representam conteúdo de vídeo adulto, Baidu Waimai e Adobe Flash. O DragonEgg, por outro lado, foi distribuído por meio de teclados Android de terceiros e aplicativos de mensagens como o Telegram.
Não há evidências de que esses aplicativos maliciosos tenham sido distribuídos pela Google Play Store oficial.
A conexão entre WyrmSpy, DragonEgg e APT41 decorre do uso de um servidor de comando e controle (C2) com o endereço IP 121.42.149[.]52, associado à infraestrutura do grupo.
Depois de instalados, os dois tipos de malware solicitam permissões intrusivas e possuem recursos avançados de coleta e exfiltração de dados, incluindo a coleta de fotos, localizações, mensagens SMS e gravações de áudio dos usuários.
O malware também utiliza módulos baixados de um servidor C2 que não está mais operacional, permitindo a coleta de dados enquanto evita a detecção.
O WyrmSpy tem a capacidade de desativar o Security-Enhanced Linux (SELinux) e utilizar ferramentas de root como KingRoot11 para obter privilégios elevados em dispositivos comprometidos. Notavelmente, DragonEgg estabelece comunicação com o servidor C2 para recuperar um módulo secundário desconhecido que se disfarça como um programa forense.