中國威脅行為者利用新間諜軟件瞄準手機

高度活躍的民族國家組織 APT41 與兩種此前未知的 Android 間諜軟件 WyrmSpy 和 DragonEgg 存在關聯。

APT41，也稱為 Axiom、Blackfly、Brass Typhoon、Bronze Atlas、HOODOO、Wicked Panda 和 Winnti，至少從 2007 年開始運營，針對多個行業進行知識產權盜竊。

最近，APT41利用名為谷歌命令與控制（GC2）的開源紅隊工具對台灣和意大利的媒體和工作平台進行了攻擊。

感染媒介可能基於社會工程技巧

移動監控軟件活動的最初入侵方法尚不清楚，但懷疑涉及社會工程策略。 WyrmSpy 最初於 2017 年被發現，而 DragonEgg 於 2021 年初首次被發現，後者的新樣本於 2023 年 4 月被發現。

WyrmSpy 經常將自己偽裝成負責顯示通知的默認系統應用程序。然而，該惡意軟件的更高版本已被打包為冒充成人視頻內容、百度外賣和 Adobe Flash 的應用程序。另一方面，DragonEgg 是通過第三方 Android 鍵盤和 Telegram 等消息應用程序分發的。

沒有證據表明這些惡意應用程序是通過官方 Google Play 商店分發的。

WyrmSpy、DragonEgg 和 APT41 之間的連接源於使用 IP 地址為 121.42.149[.]52 的命令與控制 (C2) 服務器，該服務器與該組織的基礎設施相關。

一旦安裝，這兩種惡意軟件都會請求侵入權限，並擁有先進的數據收集和滲透功能，包括收集用戶的照片、位置、短信和錄音。

該惡意軟件還利用從不再運行的 C2 服務器下載的模塊，在逃避檢測的同時實現數據收集。

WyrmSpy 能夠禁用安全增強型 Linux (SELinux) 並利用 KingRoot11 等 root 工具在受感染的設備上獲得提升的權限。值得注意的是，DragonEgg 與 C2 服務器建立通信，以檢索偽裝成取證程序的未知輔助模塊。