Haker povezan sa Kinom, poznat kao APT41, povezan je sa dva prethodno nedokumentovana tipa Android špijunskog softvera pod nazivom WyrmSpy i DragonEgg.
„Poznat po eksploataciji aplikacija za web i infiltraciji tradicionalnih krajnjih uređaja, haker kao što je APT 41, uključujući mobilni u svom arsenalu malicioznog softvera, pokazuje kako su mobilne krajnje tačke visokovrijedne mete sa željenim korporativnim i ličnim podacima“ navodi Lookout u izvještaju podijeljenom za The Hacker News.
Poznato je da je APT41, koji se takođe prati pod nazivima Axiom, Blackfly, Brass Typhoon (ranije Barium), Bronze Atlas, HOODOO, Wicked Panda i Winnti, operativan od najmanje 2007. godine, ciljajući širok spektar industrija za krađu intelektualnog vlasništva.
Nedavni napadi koje je organizovao neprijateljski kolektiv iskoristili su otvoreni alat za crveno udruživanje poznat kao Google Command and Control (GC2) kao dio napada usmjerenih na medije i platforme za zapošljavanje u Tajvanu i Italiji.
Početni vektor upada za kampanju mobilnog softvera za nadzor nije poznat, iako se sumnja da je uključivao korištenje društvenog inženjeringa. Lookout je rekao da je prvi put otkrio WyrmSpy već 2017. godine, a DragonEgg početkom 2021. godine, a novi uzorci uočeni su tek u aprilu 2023. godine.
WyrmSpy se prvenstveno maskira kao podrazumevana sistemska aplikacija koja se koristi za prikazivanje obaveštenja korisniku. Međutim, kasnije varijante spakovale su maliciozni softver u aplikacije koje se imitiraju kao video sadržaj za odrasle, Baidu Waimai i Adobe Flash. S druge strane, DragonEgg je distribuisan u obliku Android tastatura trećih strana i aplikacija za razmjenu poruka poput Telegram-a.
Nema dokaza da su ove lažne aplikacije propagirane putem Google Play prodavnice. Tačno ko ili koliko žrtava je moglo biti na meti WyrmSpy i DragonEgg nije utvrđeno.
WyrmSpy i DragonEgg veze sa APT41 proizlaze iz upotrebe komande i servera (C2) sa IP adresom 121.42.149[.]52, koja se riješava u domen (“vpn2.umisen[.]com”) koji je prethodno identifikovan kao povezan sa infrastrukturom grupe.
Jednom instalirani, oba tipa malicioznog softvera traže nametljive dozvole i dolaze sa sofistikovanim mogućnostima prikupljanja i eksfiltracije podataka, prikupljanja fotografija, lokacija, SMS poruka i audio snimaka korisnika.
Maliciozni softver je takođe primijećen oslanjajući se na module koji se preuzimaju sa sada offline C2 servera nakon instalacije aplikacije kako bi se olakšalo prikupljanje podataka, dok se istovremeno izbjegava otkrivanje.
Sa svoje strane, WyrmSpy je sposoban da onesposobi Security-Enhanced Linux (SELinux), sigurnosnu funkciju u Android-u, i koristi alate za rutovanje kao što je KingRoot11 za dobijanje povišenih privilegija na kompromitovanim uređajima. Značajna karakteristika DragonEgg-a je da uspostavlja kontakt sa C2 serverom kako bi dohvatio nepoznati tercijarni modul koji se predstavlja kao forenzički program.
“Otkriće WyrmSpy i DragonEgg podsjetnik je na rastuću pretnju koju predstavlja napredni Android malver” rekla je Kristina Balaam, viši istraživač pretnji u Lookout-u. “Ovi špijunski paketi su vrlo sofistikovani i mogu se koristiti za prikupljanje širokog spektra podataka sa zaraženih uređaja.”
Nalazi dolaze nakon što je Mandiant otkrio evoluirajuću taktiku koju su usvojile kineske špijunske ekipe kako bi letele ispod radara, uključujući naoružavanje mrežnih uređaja i softvera za virtuelizaciju, korištenje botnet-a za prikrivanje prometa između C2 infrastrukture i okruženja žrtve i tunelisanje malicioznog prometa unutar mreža žrtava kroz kompromitovane sisteme.
“Korišćenje botnet-a, proxy prometa u ugroženoj mreži i ciljanje uređaja nisu nove taktike, niti su jedinstvene za kineske hakere” rekla je kompanija za obavještavanje o pretnjama u vlasništvu Google-a. “Međutim, tokom posljednje decenije, pratili smo upotrebu ovih i drugih taktika od strane kineskih hakera kao dio šire evolucije ka svrsishodnijim, prikrivenijim i efikasnijim operacijama.”
Izvor: The Hacker News