Китайская хакерская группа APT41 нацелилась на Android-устройства с помощью двух вредносов, которые получили названия WyrmSpy и DragonEgg. Эксперты компании Lookout сообщили, что оба вредоноса обладают обширными возможностями для сбора и кражи данных, которые активируются на скомпрометированных устройствах после развертывания дополнительных полезных нагрузок.
APT41 (она же Axiom, Blackfly, Brass Typhoon, Barium, Bronze Atlas, HOODOO, Wicked Panda и Winnti)— одна из старейших китайских APT, которая нередко атакует различные отрасли в США, Азии и Европе. В основном эта группировка известна своими кибершпиоскими атаками против организаций в различных отраслях промышленности, включая разработку ПО, производство оборудования, научно-исследовательские центры, телекоммуникационные компании, университеты и иностранные правительства.
Хотя обычно APT41 обычно взламывает сети своих целей через уязвимые веб-приложения и эндпоинты, доступные через интернет, аналитики Lookout сообщают, что на этот раз группа нацелилась на устройства под управлением Android.
Уже упомянутая выше малварь WyrmSpy впервые была обнаружена исследователями в 2017 году, а DragonEgg в начале 2021 года, тогда как последние образцы датированы апрелем 2023 года. Это шпионское ПО названо в отчете специалистов сложным и может использоваться для сбора фотографий с камер жертв, определения местоположения, кражи SMS-сообщений, аудиозаписей и контактов.
WyrmSpy обычно маскируется под системное приложение, а DragonEgg выдает себя за стороннюю клавиатуру или мессенджер, что помогает вредоносам избегать обнаружения. Обе угрозы имеют пересекающие Android-сертификаты для подписи, что только подчеркивает, что малварь связана с одними и теми же злоумышленниками.
Эксперты Lookout устновили связь WyrmSpy, DragonEgg и APT41 после обнаружения управляющего сервера с IP-адресом 121.42.149[.]52 (преобразованным в домен vpn2.umisen[.]com и жестко закодированном в коде малвари). Этот сервер был частью инфраструктуры APT41 в период с мая 2014 года по август 2020 года, как сообщали аналитики Министерства юстиции США.
«Исследователи Lookout еще не сталкивались с этими образцами на практике и с умеренной степенью уверенности считают, что они распространяются среди жертв с помощью социальной инженерии. Компания Google подтвердила, что, на основе текущих данных, в Google Play не обнаружено приложений, содержащих это вредоносное ПО», — пишут эксперты.
