Прочутият, свързан с Китай национален извършител, известен като APT41, е свързан с два недокументирани досега щама на шпионски софтуер за Android, наречени WyrmSpy и DragonEgg.
„Известен с експлоатирането на уеб приложения и проникването в традиционни крайни устройства, утвърдена заплаха като APT41, който включва мобилни устройства в арсенала си от зловреден софтуер, показва как мобилните крайни точки са високостойностни цели с желани корпоративни и лични данни“, се казва в доклад на Lookout, споделен с The Hacker News.
Известно е, че APT41, проследявана и под имената Axiom, Blackfly, Brass Typhoon (преди Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti, действа поне от 2007 г. и се насочва към широк кръг индустрии, за да извършва кражби на интелектуална собственост.
Неотдавнашните атаки, организирани от противниковия колектив, използваха инструмент с отворен код за червен екип, известен като Google Command and Control (GC2), като част от атаки, насочени към медии и платформи за работа в Тайван и Италия.
Не е известен първоначалният вектор на проникване за кампанията за мобилен surveillanceware, въпреки че се предполага, че е включвал използването на социално инженерство. Lookout заяви, че за първи път е открил WyrmSpy още през 2017 г., а DragonEgg – в началото на 2021 г., като нови проби на последния са забелязани едва през април 2023 г.
WyrmSpy се маскира предимно като системно приложение по подразбиране, използвано за показване на известия на потребителя. По-късни варианти обаче са опаковали зловредния софтуер в приложения, представящи се за видеосъдържание за възрастни, Baidu Waimai и Adobe Flash. От друга страна, DragonEgg е бил разпространяван под формата на клавиатури на трети страни за Android и приложения за съобщения като Telegram.
Няма доказателства, че тези измамни приложения са били разпространявани чрез Google Play Store. Не е установено точно към кого или колко жертви може да са били насочени WyrmSpy и DragonEgg.
Връзките на WyrmSpy и DragonEgg с APT41 се дължат на използването на команден сървър (C2) с IP адрес 121.42.149[.]52, който се пренасочва към домейн („vpn2.umisen[.]com“), за който по-рано е установено, че е свързан с инфраструктурата на групата.
След като бъдат инсталирани, и двата щама на зловредния софтуер изискват натрапчиви разрешения и са снабдени със сложни възможности за събиране и ексфилтриране на данни, като събират снимки, местоположение, SMS съобщения и аудиозаписи на потребителите.
Наблюдавано е също така, че зловредният софтуер разчита на модули, които се изтеглят от вече неработещ C2 сървър след инсталирането на приложението, за да се улесни събирането на данни, като същевременно се избягва откриването им.
WyrmSpy, от своя страна, е способен да деактивира Security-Enhanced Linux (SELinux), функция за сигурност в Android, и да използва инструменти за рутиране като KingRoot11, за да получи повишени привилегии на компрометираните телефони. Забележителна особеност на DragonEgg е, че той установява контакт със сървъра C2, за да изтегли неизвестен третичен модул, който се представя за програма за криминалистика.
„Откриването на WyrmSpy и DragonEgg е напомняне за нарастващата заплаха, която представлява усъвършенстваният зловреден софтуер за Android“, казва Кристина Балаам, старши изследовател на заплахи в Lookout. „Тези шпионски пакети са изключително усъвършенствани и могат да се използват за събиране на широк спектър от данни от заразените устройства.“
Констатациите идват в момент, когато Mandiant разкрива развиващите се тактики, възприети от китайските шпионски екипи, за да се укрият под радара, включително въоръжаване на мрежови устройства и софтуер за виртуализация, използване на ботнети за замаскиране на трафика между инфраструктурата C2 и средите на жертвите и тунелиране на злонамерен трафик в мрежите на жертвите чрез компрометирани системи.
„Използването на ботнети, проксирането на трафика в компрометирана мрежа и насочването към крайни устройства не са нови тактики, нито пък са уникални за китайските участници в кибершпионажа“, заяви фирмата за разузнаване на заплахи, собственост на Google. „През последното десетилетие обаче проследихме използването на тези и други тактики от китайските участници в кибершпионажа като част от по-широка еволюция към по-целенасочени, скрити и ефективни операции.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.