Търсене
Close this search box.

Китайските хакери от APT41 атакуват мобилни устройства с WyrmSpy и DragonEgg

Прочутият, свързан с Китай национален извършител, известен като APT41, е свързан с два недокументирани досега щама на шпионски софтуер за Android, наречени WyrmSpy и DragonEgg.

„Известен с експлоатирането на уеб приложения и проникването в традиционни крайни устройства, утвърдена заплаха като APT41, който включва мобилни устройства в арсенала си от зловреден софтуер, показва как мобилните крайни точки са високостойностни цели с желани корпоративни и лични данни“, се казва в доклад на Lookout, споделен с The Hacker News.

Известно е, че APT41, проследявана и под имената Axiom, Blackfly, Brass Typhoon (преди Barium), Bronze Atlas, HOODOO, Wicked Panda и Winnti, действа поне от 2007 г. и се насочва към широк кръг индустрии, за да извършва кражби на интелектуална собственост.

Неотдавнашните атаки, организирани от противниковия колектив, използваха инструмент с отворен код за червен екип, известен като Google Command and Control (GC2), като част от атаки, насочени към медии и платформи за работа в Тайван и Италия.

Не е известен първоначалният вектор на проникване за кампанията за мобилен surveillanceware, въпреки че се предполага, че е включвал използването на социално инженерство. Lookout заяви, че за първи път е открил WyrmSpy още през 2017 г., а DragonEgg – в началото на 2021 г., като нови проби на последния са забелязани едва през април 2023 г.

WyrmSpy се маскира предимно като системно приложение по подразбиране, използвано за показване на известия на потребителя. По-късни варианти обаче са опаковали зловредния софтуер в приложения, представящи се за видеосъдържание за възрастни, Baidu Waimai и Adobe Flash. От друга страна, DragonEgg е бил разпространяван под формата на клавиатури на трети страни за Android и приложения за съобщения като Telegram.

Няма доказателства, че тези измамни приложения са били разпространявани чрез Google Play Store. Не е установено точно към кого или колко жертви може да са били насочени WyrmSpy и DragonEgg.

Връзките на WyrmSpy и DragonEgg с APT41 се дължат на използването на команден сървър (C2) с IP адрес 121.42.149[.]52, който се пренасочва към домейн („vpn2.umisen[.]com“), за който по-рано е установено, че е свързан с инфраструктурата на групата.

След като бъдат инсталирани, и двата щама на зловредния софтуер изискват натрапчиви разрешения и са снабдени със сложни възможности за събиране и ексфилтриране на данни, като събират снимки, местоположение, SMS съобщения и аудиозаписи на потребителите.

Наблюдавано е също така, че зловредният софтуер разчита на модули, които се изтеглят от вече неработещ C2 сървър след инсталирането на приложението, за да се улесни събирането на данни, като същевременно се избягва откриването им.

WyrmSpy, от своя страна, е способен да деактивира Security-Enhanced Linux (SELinux), функция за сигурност в Android, и да използва инструменти за рутиране като KingRoot11, за да получи повишени привилегии на компрометираните телефони. Забележителна особеност на DragonEgg е, че той установява контакт със сървъра C2, за да изтегли неизвестен третичен модул, който се представя за програма за криминалистика.

„Откриването на WyrmSpy и DragonEgg е напомняне за нарастващата заплаха, която представлява усъвършенстваният зловреден софтуер за Android“, казва Кристина Балаам, старши изследовател на заплахи в Lookout. „Тези шпионски пакети са изключително усъвършенствани и могат да се използват за събиране на широк спектър от данни от заразените устройства.“

Констатациите идват в момент, когато Mandiant разкрива развиващите се тактики, възприети от китайските шпионски екипи, за да се укрият под радара, включително въоръжаване на мрежови устройства и софтуер за виртуализация, използване на ботнети за замаскиране на трафика между инфраструктурата C2 и средите на жертвите и тунелиране на злонамерен трафик в мрежите на жертвите чрез компрометирани системи.

„Използването на ботнети, проксирането на трафика в компрометирана мрежа и насочването към крайни устройства не са нови тактики, нито пък са уникални за китайските участници в кибершпионажа“, заяви фирмата за разузнаване на заплахи, собственост на Google. „През последното десетилетие обаче проследихме използването на тези и други тактики от китайските участници в кибершпионажа като част от по-широка еволюция към по-целенасочени, скрити и ефективни операции.“

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
Бъдете социални
Още по темата
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
21/06/2024

САЩ наложиха санкции на 12 ...

Службата за контрол на чуждестранните активи...
21/06/2024

Хакери на Хамас шпионират П...

Хакери, свързани с Хамас, са замесени...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!