中国威胁行为者利用新间谍软件瞄准手机
高度活跃的民族国家组织 APT41 与两种此前未知的 Android 间谍软件 WyrmSpy 和 DragonEgg 存在关联。
APT41,也称为 Axiom、Blackfly、Brass Typhoon、Bronze Atlas、HOODOO、Wicked Panda 和 Winnti,至少从 2007 年开始运营,针对多个行业进行知识产权盗窃。
最近,APT41利用名为谷歌命令与控制(GC2)的开源红队工具对台湾和意大利的媒体和工作平台进行了攻击。
感染媒介可能基于社会工程技巧
移动监控软件活动的最初入侵方法尚不清楚,但怀疑涉及社会工程策略。 WyrmSpy 最初于 2017 年被发现,而 DragonEgg 于 2021 年初首次被发现,后者的新样本于 2023 年 4 月被发现。
WyrmSpy 经常将自己伪装成负责显示通知的默认系统应用程序。然而,该恶意软件的更高版本已被打包为冒充成人视频内容、百度外卖和 Adobe Flash 的应用程序。另一方面,DragonEgg 是通过第三方 Android 键盘和 Telegram 等消息应用程序分发的。
没有证据表明这些恶意应用程序是通过官方 Google Play 商店分发的。
WyrmSpy、DragonEgg 和 APT41 之间的连接源于使用 IP 地址为 121.42.149[.]52 的命令和控制 (C2) 服务器,该服务器与该组织的基础设施相关。
一旦安装,这两种恶意软件都会请求侵入权限,并拥有先进的数据收集和渗透功能,包括收集用户的照片、位置、短信和录音。
该恶意软件还利用从不再运行的 C2 服务器下载的模块,在逃避检测的同时实现数据收集。
WyrmSpy 能够禁用安全增强型 Linux (SELinux) 并利用 KingRoot11 等 root 工具在受感染的设备上获得提升的权限。值得注意的是,DragonEgg 与 C2 服务器建立通信,以检索伪装成取证程序的未知辅助模块。