Hackers Chineses APT41 Miram Dispositivos Móveis com Novos Spywares WyrmSpy e DragonEgg
19 de Julho de 2023

O prolífico ator ligado à China, conhecido como APT41, tem sido vinculado a duas linhagens de spyware para Android previamente não documentadas, chamadas WyrmSpy e DragonEgg.

"Conhecido por sua exploração de aplicações voltadas para a web e infiltração de dispositivos de ponto de extremidade tradicionais, um ator de ameaças estabelecido como o APT 41, incluindo dispositivos móveis em seu arsenal de malware, mostra como os pontos de extremidade móveis são alvos de alto valor com dados corporativos e pessoais cobiçados," disse Lookout em um relatório compartilhado com o The Hacker News.

APT41, também rastreado sob os nomes de Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, HOODOO, Wicked Panda e Winnti, é conhecido por operar pelo menos desde 2007, visando uma ampla gama de indústrias para realizar roubo de propriedade intelectual.

Ataques recentes realizados pelo coletivo adversário usaram uma ferramenta de equipe vermelha de código aberto conhecida como Google Command and Control (GC2) como parte de ataques direcionados a plataformas de mídia e emprego em Taiwan e na Itália.

O vetor de intrusão inicial para a campanha de vigilância móvel não é conhecido, embora se suspeite que tenha envolvido o uso de engenharia social.

Lookout disse que detectou WyrmSpy tão cedo quanto 2017 e DragonEgg no início de 2021, com novas amostras deste último avistadas recentemente em abril de 2023.

WyrmSpy se disfarça principalmente como um aplicativo padrão do sistema usado para exibir notificações ao usuário.

Variantes posteriores, no entanto, embalaram o malware em aplicativos que se passam por conteúdo de vídeo adulto, Baidu Waimai e Adobe Flash.

Por outro lado, DragonEgg foi distribuído na forma de teclados Android de terceiros e aplicativos de mensagens como o Telegram.

Não há evidências de que esses aplicativos falsos tenham sido distribuídos através da Google Play Store.

As conexões de WyrmSpy e DragonEgg com o APT41 surgem do uso de um comando e servidor (C2) com o endereço IP 121.42.149[.]52, que resolve para um domínio ("vpn2 umisen") identificado anteriormente como associado à infraestrutura do grupo.

Uma vez instaladas, ambas as linhagens de malware solicitam permissões intrusivas e vêm equipadas com capacidades avançadas de coleta e exfiltração de dados, colhendo fotos, localizações, mensagens SMS e gravações de áudio dos usuários.

O malware também foi observado por depender de módulos que são baixados de um servidor C2 agora offline após a instalação do aplicativo para facilitar a coleta de dados, enquanto evita simultaneamente a detecção.

WyrmSpy, por sua vez, é capaz de desativar o Linux Security-Enhanced (SELinux), um recurso de segurança no Android, e fazer uso de ferramentas de enraizamento como KingRoot11 para obter privilégios elevados nos dispositivos comprometidos.

Um recurso notável de DragonEgg é que estabelece contato com o servidor C2 para buscar um módulo terciário desconhecido que atua como um programa de forense.

"A descoberta de WyrmSpy e DragonEgg é um lembrete da crescente ameaça representada por malware avançado para Android, " disse Kristina Balaam, pesquisadora sênior de ameaças na Lookout.

"Esses pacotes de spyware são altamente sofisticados e podem ser usados para coletar uma ampla gama de dados de dispositivos infectados."

As conclusões ocorrem conforme a Mandiant divulgou as táticas em evolução adotadas pelas equipes de espionagem chinesas para voar sob o radar, incluindo a armamentização de dispositivos de rede e software de virtualização, empregando botnets para ofuscar o tráfego entre a infraestrutura C2 e os ambientes de vítimas, e o tráfego malicioso de túnel dentro das redes de vítimas através de sistemas comprometidos.

"O uso de botnets, o tráfego proxy em uma rede comprometida e o direcionamento de dispositivos de borda não são novas táticas, nem são exclusivas dos atores de espionagem cibernética chinesa", disse a empresa de inteligência de ameaças do Google.

"No entanto, durante a última década, temos rastreado o uso dessas e outras táticas por atores de espionagem cibernética chineses como parte de uma evolução mais ampla em direção a operações mais propositadas, sorrateiras e eficazes."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...