Un conocido grupo de amenazas como APT41, también conocido como Axiom, Blackfly, Brass Typhoon (antes Barium), Bronze Atlas, HOODOO, Wicked Panda y Winnti, ha sido vinculado con dos cepas de spyware para Android hasta ahora no documentadas, denominadas WyrmSpy y DragonEgg.
Lookout, una compañía de ciberseguridad, compartió un informe destacando cómo la inclusión de dispositivos móviles en el arsenal de malware de APT41 demuestra que estos endpoints móviles son objetivos de alto valor debido a los valiosos datos corporativos y personales que contienen.
Desde al menos 2007, APT41 ha estado operativo, dirigiéndose a una amplia variedad de industrias con el objetivo de robar propiedad intelectual.
Recientemente, el grupo ha llevado a cabo ataques utilizando una herramienta de red teaming de código abierto conocida como Google Command and Control (GC2), apuntando a plataformas de medios y empleo en Taiwán e Italia.
Aunque no se conoce el vector de intrusión inicial para la campaña de vigilancia móvil, se sospecha que pudo haber involucrado ingeniería social. Lookout reportó la detección de WyrmSpy a principios de 2017 y DragonEgg a principios de 2021, y se encontraron nuevas muestras de este último tan recientemente como en abril de 2023.
WyrmSpy se camufla principalmente como una aplicación de sistema predeterminada utilizada para mostrar notificaciones al usuario. Sin embargo, variantes posteriores del malware han sido empaquetadas en aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash. Por otro lado, DragonEgg ha sido distribuido en forma de teclados de terceros para Android y aplicaciones de mensajería como Telegram.
No se ha encontrado evidencia de que estas aplicaciones maliciosas se hayan propagado a través de la tienda oficial de Google, Google Play Store.
Tanto WyrmSpy como DragonEgg están conectados a APT41 debido al uso de un servidor y comando (C2) con la dirección IP 121.42.149[.]52, que se resuelve a un dominio ("vpn2.umisen[.]com") previamente identificado como asociado con la infraestructura del grupo.
Una vez instaladas, ambas cepas de malware solicitan permisos intrusivos y cuentan con sofisticadas capacidades de recopilación y extracción de datos, incluyendo la obtención de fotos, ubicaciones, mensajes SMS y grabaciones de audio de los usuarios.
Se ha observado que el malware utiliza módulos descargados de un servidor C2 que ahora está fuera de línea después de la instalación de la aplicación, lo que facilita la recopilación de datos y, al mismo tiempo, evita la detección.
WyrmSpy, por su parte, es capaz de desactivar Security-Enhanced Linux (SELinux), una característica de seguridad en Android, y utilizar herramientas de root como KingRoot11 para obtener privilegios elevados en los dispositivos comprometidos. Una característica destacada de DragonEgg es que se comunica con el servidor C2 para obtener un módulo terciario desconocido que se hace pasar por un programa forense.
Kristina Balaam, investigadora principal de amenazas en Lookout, advirtió que el descubrimiento de WyrmSpy y DragonEgg es un recordatorio de la creciente amenaza que representan los sofisticados malware para Android. Estos paquetes de spyware pueden recopilar una amplia gama de datos de los dispositivos infectados.
Estos hallazgos coinciden con la divulgación de las tácticas en evolución adoptadas por los equipos de espionaje chinos para pasar desapercibidos, incluyendo la utilización de dispositivos de red y software de virtualización como armas, el empleo de botnets para ocultar el tráfico entre la infraestructura C2 y los entornos de las víctimas, y el enmascaramiento del tráfico malicioso dentro de las redes de las víctimas a través de sistemas comprometidos.
https://thehackernews.com/2023/07/chinese-apt41-hackers-target-mobile.html
%2014.04.55.png)
