Οι χάκερ APT41 στοχεύουν χρήστες Android με λογισμικό κατασκοπείας WyrmSpy, DragonEgg
Η υποστηριζόμενη από το Κινεζικό κράτος ομάδα
hacking
APT41 στοχεύει συσκευές
Android
με δύο νέα στελέχη spyware που έχουν ονομαστεί WyrmSpy και DragonEgg από τους ερευνητές ασφαλείας της Lookout.
Το APT41 είναι μια από τις παλαιότερες κρατικές ομάδες hacking με ιστορία στόχευσης διαφόρων βιομηχανιών στις ΗΠΑ, την Ασία και την Ευρώπη.
Είναι γνωστοί για τη διεξαγωγή επιχειρήσεων κυβερνοκατασκοπείας εναντίον οντοτήτων σε διάφορους κλάδους της βιομηχανίας, συμπεριλαμβανομένης της ανάπτυξης λογισμικού, της κατασκευής υλικού, των δεξαμενών σκέψης, των τηλεπικοινωνιών, των πανεπιστημίων και των ξένων κυβερνήσεων.
Η ομάδα παρακολουθείται με διάφορα ονόματα από πολλές εταιρείες κυβερνοασφάλειας.
Kaspersky
παρακολουθούσε τη δραστηριότητά τους
από το 2012 ως Winnti για τον εντοπισμό του κακόβουλου λογισμικού που χρησιμοποιείται στις επιθέσεις τους.
Ομοίως,
Η Mandiant τους παρακολουθούσε επίσης
από το 2014 και παρατήρησαν ότι οι δραστηριότητές τους αλληλεπικαλύπτονταν με άλλες γνωστές κινεζικές ομάδες hacking όπως η BARIUM.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ απήγγειλε κατηγορίες σε πέντε Κινέζους υπηκόους που συνδέονται με το APT41 τον Σεπτέμβριο του 2020 για συμμετοχή τους σε κυβερνοεπιθέσεις σε περισσότερες από 100 εταιρείες.
«Σε αντίθεση με πολλές ομάδες APT που υποστηρίζονται από έθνη, το APT41 έχει ιστορικό συμβιβασμού τόσο κυβερνητικών οργανισμών για κατασκοπεία όσο και διαφορετικών ιδιωτικών επιχειρήσεων για οικονομικό όφελος».
είπε ο Lookout
σε έκθεση που δημοσιεύθηκε αυτή την εβδομάδα.
Ο σύνδεσμος spyware Android
Ενώ οι χάκερ APT41 συνήθως παραβιάζουν τα δίκτυα των στόχων τους μέσω ευάλωτων εφαρμογών Ιστού και τελικών σημείων που εκτίθενται στο Διαδίκτυο, η Lookout λέει ότι η ομάδα στοχεύει επίσης συσκευές Android με στελέχη spyware WyrmSpy και DragonEgg.
Το Lookout εντόπισε για πρώτη φορά το WyrmSpy το 2017 και το DragonEgg στις αρχές του 2021, με το πιο πρόσφατο παράδειγμα να χρονολογείται από τον Απρίλιο του 2023.
Και τα δύο στελέχη κακόβουλου λογισμικού Android διαθέτουν εκτεταμένες δυνατότητες συλλογής δεδομένων και διήθησης που ενεργοποιούνται σε παραβιασμένες συσκευές Android μετά την ανάπτυξη δευτερευόντων ωφέλιμων φορτίων.
Ενώ το WyrmSpy μεταμφιέζεται ως προεπιλεγμένη εφαρμογή λειτουργικού συστήματος, το DragonEgg είναι καμουφλαρισμένο ως εφαρμογές πληκτρολογίου ή ανταλλαγής μηνυμάτων τρίτων, χρησιμοποιώντας αυτά τα προσχήματα για να αποφύγει τον εντοπισμό.
Τα δύο είδη κακόβουλου λογισμικού μοιράζονται επίσης επικαλυπτόμενα πιστοποιητικά υπογραφής Android, ενισχύοντας τη σύνδεσή τους με έναν παράγοντα απειλής.
Το Lookout ανακάλυψε τη σύνδεσή του με το APT41 αφού βρήκε έναν διακομιστή εντολών και ελέγχου (C2) με το 121.42.149[.]52 Διεύθυνση IP (επίλυση στο vpn2.umisen[.]τομέα com και ενσωματωμένη στον πηγαίο κώδικα κακόβουλου λογισμικού).
Ο διακομιστής ήταν μέρος της υποδομής επίθεσης του APT41 μεταξύ Μαΐου 2014 και Αυγούστου 2020, όπως αποκαλύφθηκε στο Υπουργείο Δικαιοσύνης των ΗΠΑ
Κατηγορία Σεπτεμβρίου 2020
.
“Οι ερευνητές του Lookout δεν έχουν ακόμη συναντήσει δείγματα στη φύση και αξιολογούν με μέτρια σιγουριά ότι διανέμονται στα θύματα μέσω καμπανιών κοινωνικής μηχανικής. Η
Google
επιβεβαίωσε ότι με βάση την τρέχουσα ανίχνευση, δεν βρέθηκε καμία εφαρμογή που να περιέχει αυτό το κακόβουλο λογισμικό στο
Google Play
”, είπε η Lookout.
Ωστόσο, το ενδιαφέρον του APT41 για συσκευές Android «δείχνει ότι τα τελικά σημεία για κινητά είναι στόχοι υψηλής αξίας με πολυπόθητα δεδομένα».
