Прочутият, свързан с Китай национален извършител, известен като APT41, е свързан с два недокументирани досега щама на шпионски софтуер за Android, наречени WyrmSpy и DragonEgg.

„Известен с експлоатирането на уеб приложения и проникването в традиционни крайни устройства, утвърдена заплаха като APT41, който включва мобилни устройства в арсенала си от зловреден софтуер, показва как мобилните крайни точки са високостойностни цели с желани корпоративни и лични данни“, се казва в доклад на Lookout, споделен с The Hacker News.

Известно е, че APT41, проследявана и под имената Axiom, Blackfly, Brass Typhoon (преди Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti, действа поне от 2007 г. и се насочва към широк кръг индустрии, за да извършва кражби на интелектуална собственост.

Неотдавнашните атаки, организирани от противниковия колектив, използваха инструмент с отворен код за червен екип, известен като Google Command and Control (GC2), като част от атаки, насочени към медии и платформи за работа в Тайван и Италия.

Не е известен първоначалният вектор на проникване за кампанията за мобилен surveillanceware, въпреки че се предполага, че е включвал използването на социално инженерство. Lookout заяви, че за първи път е открил WyrmSpy още през 2017 г., а DragonEgg – в началото на 2021 г., като нови проби на последния са забелязани едва през април 2023 г.

WyrmSpy се маскира предимно като системно приложение по подразбиране, използвано за показване на известия на потребителя. По-късни варианти обаче са опаковали зловредния софтуер в приложения, представящи се за видеосъдържание за възрастни, Baidu Waimai и Adobe Flash. От друга страна, DragonEgg е бил разпространяван под формата на клавиатури на трети страни за Android и приложения за съобщения като Telegram.

Няма доказателства, че тези измамни приложения са били разпространявани чрез Google Play Store. Не е установено точно към кого или колко жертви може да са били насочени WyrmSpy и DragonEgg.

Връзките на WyrmSpy и DragonEgg с APT41 се дължат на използването на команден сървър (C2) с IP адрес 121.42.149[.]52, който се пренасочва към домейн („vpn2.umisen[.]com“), за който по-рано е установено, че е свързан с инфраструктурата на групата.

След като бъдат инсталирани, и двата щама на зловредния софтуер изискват натрапчиви разрешения и са снабдени със сложни възможности за събиране и ексфилтриране на данни, като събират снимки, местоположение, SMS съобщения и аудиозаписи на потребителите.

Наблюдавано е също така, че зловредният софтуер разчита на модули, които се изтеглят от вече неработещ C2 сървър след инсталирането на приложението, за да се улесни събирането на данни, като същевременно се избягва откриването им.

WyrmSpy, от своя страна, е способен да деактивира Security-Enhanced Linux (SELinux), функция за сигурност в Android, и да използва инструменти за рутиране като KingRoot11, за да получи повишени привилегии на компрометираните телефони. Забележителна особеност на DragonEgg е, че той установява контакт със сървъра C2, за да изтегли неизвестен третичен модул, който се представя за програма за криминалистика.

„Откриването на WyrmSpy и DragonEgg е напомняне за нарастващата заплаха, която представлява усъвършенстваният зловреден софтуер за Android“, казва Кристина Балаам, старши изследовател на заплахи в Lookout. „Тези шпионски пакети са изключително усъвършенствани и могат да се използват за събиране на широк спектър от данни от заразените устройства.“

Констатациите идват в момент, когато Mandiant разкрива развиващите се тактики, възприети от китайските шпионски екипи, за да се укрият под радара, включително въоръжаване на мрежови устройства и софтуер за виртуализация, използване на ботнети за замаскиране на трафика между инфраструктурата C2 и средите на жертвите и тунелиране на злонамерен трафик в мрежите на жертвите чрез компрометирани системи.

„Използването на ботнети, проксирането на трафика в компрометирана мрежа и насочването към крайни устройства не са нови тактики, нито пък са уникални за китайските участници в кибершпионажа“, заяви фирмата за разузнаване на заплахи, собственост на Google. „През последното десетилетие обаче проследихме използването на тези и други тактики от китайските участници в кибершпионажа като част от по-широка еволюция към по-целенасочени, скрити и ефективни операции.“

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
Бъдете социални
Още по темата
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!