Обновлённые трояны WyrmSpy и DragonEgg прикидываются клавиатурами и мессенджерами, но вне поля зрения жертв заняты совсем другим...
Китайская хакерская группировка APT41, также известная как Axiom, Blackfly и Wicked Panda, недавно была связана исследователями с двумя Android-шпионами, известными как «WyrmSpy» и «DragonEgg». Об этом сообщили эксперты компании Lookout в своём новом отчёте .
APT41 действует как минимум с 2007 года и атакует компании в самых разных отраслях с целью кражи интеллектуальной собственности. Недавно хакеры использовали в своих атаках на медиакомпании и биржи труда в Тайване и Италии общедоступный инструмент для пентеста под названием GC2.
Первоначальный вектор заражения неизвестен, но предположительно злоумышленники использовали методы социальной инженерии. Эксперты Lookout впервые обнаружили WyrmSpy в 2017 году, а DragonEgg — в начале 2021 года. При этом новые образцы последнего регистрировались вплоть до апреля 2023 года.
WyrmSpy изначально маскировался под системное приложение для уведомлений, а более поздние версии притворялись сервисом доставки Baidu Waimai, Adobe Flash Player и даже приложением для просмотра порнографии. DragonEgg же распространялся под видом клавиатур и мессенджеров, например, Telegram. Связь шпионов с APT41 подтверждается использованием одного и того же адреса C2-сервера.
Закрепившись в системе, вредоносы запрашивают вредоносные разрешения и крадут фото, геоданные, SMS и аудиозаписи пользователей. Они также способны загружать дополнительные модули для сбора данных и обхода детектирования.
Изученные исследователями экземпляры WyrmSpy могли отключать защиту SELinux в Android и получать root-доступ благодаря утилите KingRoot11 и подобным. прав. А вот отличительная черта DragonEgg — загрузка неизвестного модуля, маскирующегося под средство компьютерной криминалистики.
«Обнаружение WyrmSpy и DragonEgg напоминает о растущей угрозе со стороны продвинутых Android-троянов, — говорит старший исследователь угроз Lookout Кристина Балам.
«Эти шпионские инструменты чрезвычайно изощрённые и позволяют собирать широкий спектр данных с заражённых устройств», — заключил эксперт.
Главной рекомендацией в защите от Android-вредоносов является установка приложений только из официальных магазинов приложений. Да и там не стоит скачивать всё подряд, всегда обращая внимание на издателя и отзывы к выбранному приложению.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале