Китайский злоумышленник атакует мобильные телефоны новым шпионским ПО
Высокоактивная группа национальных государств, известная как APT41, была связана с двумя ранее неизвестными типами шпионского ПО для Android, которые называются WyrmSpy и DragonEgg.
APT41, также известная как Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda и Winnti, работает как минимум с 2007 года и нацелена на различные отрасли для кражи интеллектуальной собственности.
Недавно APT41 использовала инструмент Red Teaming с открытым исходным кодом под названием Google Command and Control (GC2) для атак на медиа-платформы и платформы для поиска работы на Тайване и в Италии.
Вектор заражения, вероятно, основан на уловках социальной инженерии
Первоначальный метод вторжения для кампании по мобильному наблюдению неясен, но подозревается, что он использует тактику социальной инженерии. WyrmSpy был первоначально обнаружен в 2017 году, в то время как DragonEgg был впервые идентифицирован в начале 2021 года, а новые образцы последнего были обнаружены совсем недавно, в апреле 2023 года.
WyrmSpy часто маскируется под стандартное системное приложение, отвечающее за отображение уведомлений. Однако более поздние версии вредоносного ПО были упакованы как приложения, имитирующие видеоконтент для взрослых, Baidu Waimai и Adobe Flash. DragonEgg, с другой стороны, распространялся через сторонние клавиатуры Android и приложения для обмена сообщениями, такие как Telegram.
Нет никаких доказательств того, что эти вредоносные приложения распространялись через официальный магазин Google Play.
Связь между WyrmSpy, DragonEgg и APT41 связана с использованием сервера управления и контроля (C2) с IP-адресом 121.42.149[.]52, связанного с инфраструктурой группы.
После установки оба штамма вредоносных программ запрашивают навязчивые разрешения и обладают расширенными возможностями сбора и эксфильтрации данных, включая сбор фотографий пользователей, местонахождения, SMS-сообщений и аудиозаписей.
Вредоносное ПО также использует модули, загруженные с вышедшего из строя C2-сервера, что позволяет собирать данные, избегая обнаружения.
WyrmSpy может отключить Linux с улучшенной безопасностью (SELinux) и использовать инструменты рутирования, такие как KingRoot11, для получения повышенных привилегий на скомпрометированных устройствах. Примечательно, что DragonEgg устанавливает связь с сервером C2, чтобы получить неизвестный вторичный модуль, который маскируется под криминалистическую программу.