El prolífico actor de estado-nación vinculado a China conocido como APT41 ha sido vinculado a dos cepas de software espía de Android previamente no documentadas llamadas WyrmSpy y DragonEgg.
«Conocido por su explotación de aplicaciones orientadas a la web y la infiltración de dispositivos de punto final tradicionales, un actor de amenazas establecido como APT 41, que incluye dispositivos móviles en su arsenal de malware, muestra cómo los puntos finales móviles son objetivos de alto valor con datos corporativos y personales codiciados», Lookout dicho en un informe compartido con The Hacker News.
Se sabe que APT41, también rastreado con los nombres Axiom, Blackfly, Brass Typhoon (anteriormente Bario), Bronze Atlas, HOODOO, Wicked Panda y Winnti, está operativo desde al menos 2007, apuntando a una amplia gama de industrias para llevar a cabo el robo de propiedad intelectual. .
Los ataques recientes montados por el colectivo adversario han aprovechado una herramienta de equipo rojo de código abierto conocida como Google Command and Control (GC2) como parte de los ataques dirigidos a los medios y plataformas de trabajo en Taiwán e Italia.
Se desconoce el vector de intrusión inicial para la campaña de software de vigilancia móvil, aunque se sospecha que involucró el uso de ingeniería social. Lookout dijo que detectó por primera vez WyrmSpy ya en 2017 y DragonEgg a principios de 2021, con nuevas muestras de este último detectadas en abril de 2023.
WyrmSpy se disfraza principalmente como una aplicación de sistema predeterminada utilizada para mostrar notificaciones al usuario. Sin embargo, las variantes posteriores han empaquetado el malware en aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash. Por otro lado, DragonEgg se ha distribuido en forma de teclados Android de terceros y aplicaciones de mensajería como Telegram.
No hay evidencia de que estas aplicaciones maliciosas se hayan propagado a través de Google Play Store.
Las conexiones de WyrmSpy y DragonEgg a APT41 surgen del uso de un comando y servidor (C2) con la dirección IP 121.42.149[.]52, que se resuelve en un dominio («vpn2.umisen[.]com») previamente identificado como asociado a la infraestructura del grupo.
Una vez instaladas, ambas cepas de malware solicitan permisos intrusivos y vienen equipadas con capacidades sofisticadas de recolección y exfiltración de datos, recolectando fotos, ubicaciones, mensajes SMS y grabaciones de audio de los usuarios.
También se ha observado que el malware se basa en módulos que se descargan de un servidor C2 ahora fuera de línea después de la instalación de la aplicación para facilitar la recopilación de datos y, al mismo tiempo, evitar la detección.
WyrmSpy, por su parte, es capaz de deshabilitar Security-Enhanced Linux (SELinux), una función de seguridad en Android, y hacer uso de herramientas de enraizamiento como KingRoot11 para obtener privilegios elevados en los teléfonos comprometidos. Una característica notable de DragonEgg es que establece contacto con el servidor C2 para obtener un módulo terciario desconocido que se hace pasar por un programa forense.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
«El descubrimiento de WyrmSpy y DragonEgg es un recordatorio de la creciente amenaza que representa el malware avanzado para Android», dijo Kristina Balaam, investigadora principal de amenazas en Lookout. «Estos paquetes de software espía son muy sofisticados y se pueden utilizar para recopilar una amplia gama de datos de los dispositivos infectados».
Los hallazgos se producen cuando Mandiant reveló las tácticas en evolución adoptadas por los equipos de espionaje chinos para pasar desapercibidos, incluido el uso de dispositivos de red y software de virtualización como armas, el empleo de botnets para ofuscar el tráfico entre la infraestructura C2 y los entornos de las víctimas, y canalizar el tráfico malicioso dentro de las redes de las víctimas a través de redes comprometidas. sistemas
«El uso de botnets, el tráfico proxy en una red comprometida y los dispositivos periféricos no son tácticas nuevas, ni son exclusivos de los actores chinos de espionaje cibernético», dijo la firma de inteligencia de amenazas propiedad de Google. «Sin embargo, durante la última década, hemos rastreado el uso de estas y otras tácticas por parte de los actores chinos de espionaje cibernético como parte de una evolución más amplia hacia operaciones más decididas, sigilosas y efectivas».