中国威胁行为者利用新间谍软件瞄准手机

高度活跃的民族国家组织 APT41 与两种此前未知的 Android 间谍软件 WyrmSpy 和 DragonEgg 存在关联。

APT41，也称为 Axiom、Blackfly、Brass Typhoon、Bronze Atlas、HOODOO、Wicked Panda 和 Winnti，至少从 2007 年开始运营，针对多个行业进行知识产权盗窃。

最近，APT41利用名为谷歌命令与控制（GC2）的开源红队工具对台湾和意大利的媒体和工作平台进行了攻击。

感染媒介可能基于社会工程技巧

移动监控软件活动的最初入侵方法尚不清楚，但怀疑涉及社会工程策略。 WyrmSpy 最初于 2017 年被发现，而 DragonEgg 于 2021 年初首次被发现，后者的新样本于 2023 年 4 月被发现。

WyrmSpy 经常将自己伪装成负责显示通知的默认系统应用程序。然而，该恶意软件的更高版本已被打包为冒充成人视频内容、百度外卖和 Adobe Flash 的应用程序。另一方面，DragonEgg 是通过第三方 Android 键盘和 Telegram 等消息应用程序分发的。

没有证据表明这些恶意应用程序是通过官方 Google Play 商店分发的。

WyrmSpy、DragonEgg 和 APT41 之间的连接源于使用 IP 地址为 121.42.149[.]52 的命令和控制 (C2) 服务器，该服务器与该组织的基础设施相关。

一旦安装，这两种恶意软件都会请求侵入权限，并拥有先进的数据收集和渗透功能，包括收集用户的照片、位置、短信和录音。

该恶意软件还利用从不再运行的 C2 服务器下载的模块，在逃避检测的同时实现数据收集。

WyrmSpy 能够禁用安全增强型 Linux (SELinux) 并利用 KingRoot11 等 root 工具在受感染的设备上获得提升的权限。值得注意的是，DragonEgg 与 C2 服务器建立通信，以检索伪装成取证程序的未知辅助模块。