Ο απειλητικός παράγοντας APT41 που συνδέεται με την Κίνα, έχει συνδεθεί με δύο προηγουμένως μη τεκμηριωμένα στελέχη Android spyware που ονομάζονται WyrmSpy και DragonEgg.
Δείτε επίσης: Νέο κρίσιμο σφάλμα Citrix ADC και Gateway χρησιμοποιείται ως zero-day
Ο απειλητικός παράγοντας APT41, που παρακολουθείται και με τα ονόματα Axiom, Blackfly, Brass Typhoon (πρώην Barium), Bronze Atlas, HOODOO, Wicked Panda και Winnti, είναι γνωστό ότι λειτουργεί τουλάχιστον από το 2007, στοχεύοντας σε ένα ευρύ φάσμα βιομηχανιών με σκοπό την κλοπή πνευματικής ιδιοκτησίας.
Δείτε επίσης: Οι εταιρείες Intellexa και Cytrox μπήκαν στην μαύρη λίστα των ΗΠΑ
Οι πρόσφατες επιθέσεις που πραγματοποιήθηκαν από το αντίπαλο collective αξιοποίησαν ένα red teaming εργαλείο ανοιχτού κώδικα, γνωστό ως “Google Command and Control” (GC2), στο πλαίσιο επιθέσεων που στόχευαν σε πλατφόρμες μέσων ενημέρωσης και εργασίας στην Ταϊβάν και την Ιταλία.
Ο αρχικός απειλητικός φορέας για την εκστρατεία mobile surveillanceware δεν είναι γνωστός, αν και υπάρχουν υποψίες ότι περιλάμβανε τη χρήση social engineering. Η Lookout δήλωσε ότι εντόπισε για πρώτη φορά το WyrmSpy το 2017 και το DragonEgg στις αρχές του 2021, ενώ νέα δείγματα του τελευταίου εντοπίστηκαν μόλις τον Απρίλιο του 2023.
Το WyrmSpy μεταμφιέζεται κυρίως ως προεπιλεγμένη εφαρμογή του συστήματος που χρησιμοποιείται για την εμφάνιση ειδοποιήσεων στον χρήστη. Ωστόσο, μεταγενέστερες παραλλαγές έχουν “συσκευάσει” το κακόβουλο λογισμικό σε εφαρμογές που παριστάνουν το περιεχόμενο βίντεο για ενήλικες, το Baidu Waimai και το Adobe Flash. Από την άλλη πλευρά, το DragonEgg έχει διανεμηθεί με τη μορφή των Android keyboards τρίτων κατασκευαστών και εφαρμογών ανταλλαγής μηνυμάτων, όπως το Telegram.
Δεν υπάρχει καμία απόδειξη ότι αυτές οι παράνομες εφαρμογές διαδόθηκαν μέσω του Google Play Store.
Οι συνδέσεις των WyrmSpy και DragonEgg με την APT41 προκύπτουν από τη χρήση ενός διακομιστή εντολών και ελέγχου (C2) με τη διεύθυνση IP 121.42.149.52, η οποία αποδίδεται σε ένα domain (“vpn2.umisen.com”) που έχει αναγνωριστεί προηγουμένως ως σχετιζόμενος με την υποδομή της ομάδας.
Μόλις εγκατασταθούν, και τα δύο στελέχη κακόβουλου λογισμικού ζητούν intrusive permissions και διαθέτουν εξελιγμένες δυνατότητες συλλογής και διαρροής δεδομένων που συλλέγουν φωτογραφίες, τοποθεσίες, μηνύματα SMS και ηχογραφήσεις των χρηστών.
Δείτε επίσης: Η Ουκρανία καταρρίπτει ένα τεράστιο bot farm
Το κακόβουλο λογισμικό έχει επίσης παρατηρηθεί ότι βασίζεται σε modules που κατεβαίνουν από έναν διακομιστή διοίκησης και ελέγχου που είναι πλέον εκτός λειτουργίας μετά την εγκατάσταση της εφαρμογής για να διευκολύνει τη συλλογή δεδομένων, ενώ ταυτόχρονα αποφεύγει την ανίχνευση.
Το WyrmSpy είναι σε θέση να απενεργοποιήσει το Security-Enhanced Linux (SELinux), ένα χαρακτηριστικό ασφαλείας στο Android, και να χρησιμοποιήσει εργαλεία rooting όπως το KingRoot11 για να αποκτήσει αυξημένα προνόμια στις παραβιασμένες συσκευές. Ένα αξιοσημείωτο χαρακτηριστικό του DragonEgg είναι ότι εγκαθιστά επαφή με τον διακομιστή C2 για να αντλήσει ένα άγνωστο tertiary moduleπου παριστάνει το forensics πρόγραμμα.
Τα ευρήματα έρχονται καθώς η Mandiant αποκάλυψε τις εξελισσόμενες τακτικές που υιοθετούνται από τις κινεζικές ομάδες κατασκοπείας για να μην εντοπίζονται, συμπεριλαμβανομένης της οπλοποίησης συσκευών δικτύωσης και λογισμικού εικονικοποίησης, της χρήσης botnet για το obfuscation της κυκλοφορίας μεταξύ της υποδομής C2 και των περιβαλλόντων των θυμάτων και της διοχέτευσης κακόβουλης κυκλοφορίας μέσα στα δίκτυα των θυμάτων μέσω παραβιασμένων συστημάτων.
Πηγή πληροφοριών: thehackernews.com
