中國威脅行為者利用新間諜軟件瞄準手機
高度活躍的民族國家組織 APT41 與兩種此前未知的 Android 間諜軟件 WyrmSpy 和 DragonEgg 存在關聯。
APT41,也稱為 Axiom、Blackfly、Brass Typhoon、Bronze Atlas、HOODOO、Wicked Panda 和 Winnti,至少從 2007 年開始運營,針對多個行業進行知識產權盜竊。
最近,APT41利用名為谷歌命令與控制(GC2)的開源紅隊工具對台灣和意大利的媒體和工作平台進行了攻擊。
感染媒介可能基於社會工程技巧
移動監控軟件活動的最初入侵方法尚不清楚,但懷疑涉及社會工程策略。 WyrmSpy 最初於 2017 年被發現,而 DragonEgg 於 2021 年初首次被發現,後者的新樣本於 2023 年 4 月被發現。
WyrmSpy 經常將自己偽裝成負責顯示通知的默認系統應用程序。然而,該惡意軟件的更高版本已被打包為冒充成人視頻內容、百度外賣和 Adobe Flash 的應用程序。另一方面,DragonEgg 是通過第三方 Android 鍵盤和 Telegram 等消息應用程序分發的。
沒有證據表明這些惡意應用程序是通過官方 Google Play 商店分發的。
WyrmSpy、DragonEgg 和 APT41 之間的連接源於使用 IP 地址為 121.42.149[.]52 的命令與控制 (C2) 服務器,該服務器與該組織的基礎設施相關。
一旦安裝,這兩種惡意軟件都會請求侵入權限,並擁有先進的數據收集和滲透功能,包括收集用戶的照片、位置、短信和錄音。
該惡意軟件還利用從不再運行的 C2 服務器下載的模塊,在逃避檢測的同時實現數據收集。
WyrmSpy 能夠禁用安全增強型 Linux (SELinux) 並利用 KingRoot11 等 root 工具在受感染的設備上獲得提升的權限。值得注意的是,DragonEgg 與 C2 服務器建立通信,以檢索偽裝成取證程序的未知輔助模塊。