El prolÃfico actor estatal vinculado a China, conocido como APT41, ha sido relacionado con dos nuevas variantes de programas espÃa para Android llamados WyrmSpy y DragonEgg, que no habÃan sido documentados previamente.
"Conocido por su explotación de aplicaciones expuestas en la web e infiltración de dispositivos tradicionales, el hecho de que un actor de amenazas establecido como APT41 incluya dispositivos móviles en su arsenal de malware demuestra cómo los endpoints móviles son objetivos de alto valor con codiciados datos corporativos y personales", dijo Lookout en un informe compartido con The Hacker News.
APT41, también conocido con los nombres de Axiom, Blackfly, Brass Typhoon (anteriormente conocido como Barium), Bronze Atlas, HOODOO, Wicked Panda y Winnti, ha estado operativo desde al menos 2007, y se dirige a una amplia gama de industrias para llevar a cabo robo de propiedad intelectual. Ataques recientes realizados por este colectivo adversario han utilizado una herramienta de pruebas de penetración de código abierto conocida como Google Command and Control (GC2) como parte de ataques dirigidos a plataformas de medios y empleo en Taiwán e Italia.
Aunque no se conoce el vector inicial de intrusión para la campaña de programas de vigilancia móvil, se sospecha que puede haber involucrado el uso de ingenierÃa social. Lookout afirma que detectó por primera vez WyrmSpy a principios de 2017 y DragonEgg a principios de 2021, con nuevos ejemplares de este último detectados tan recientemente como abril de 2023.
WyrmSpy se hace pasar principalmente por una aplicación del sistema predeterminada utilizada para mostrar notificaciones al usuario. Sin embargo, variantes posteriores han empaquetado el malware en aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash. Por otro lado, DragonEgg se ha distribuido en forma de teclados de Android de terceros y aplicaciones de mensajerÃa como Telegram.
No hay evidencia de que estas aplicaciones maliciosas se hayan propagado a través de la tienda de Google Play. Las conexiones de WyrmSpy y DragonEgg con APT41 surgen del uso de un servidor y comando (C2) con la dirección IP 121.42.149[.]52, que se resuelve a un dominio ("vpn2.umisen[.]com") previamente identificado como asociado con la infraestructura del grupo.
Una vez instalados, ambos programas maliciosos solicitan permisos intrusivos y vienen equipados con capacidades sofisticadas de recolección y extracción de datos, recopilando fotos, ubicaciones, mensajes SMS y grabaciones de audio de los usuarios.
También se ha observado que el malware utiliza módulos que se descargan de un servidor C2 ahora fuera de lÃnea después de la instalación de la aplicación para facilitar la recolección de datos, al mismo tiempo que evita la detección.
WyrmSpy, por su parte, es capaz de deshabilitar Security-Enhanced Linux (SELinux), una caracterÃstica de seguridad en Android, y utiliza herramientas de enraizamiento como KingRoot11 para obtener privilegios elevados en los dispositivos comprometidos. Una caracterÃstica destacada de DragonEgg es que se comunica con el servidor C2 para obtener un módulo terciario desconocido que se hace pasar por un programa forense. "El descubrimiento de WyrmSpy y DragonEgg es un recordatorio de la creciente amenaza que representan los programas maliciosos avanzados para Android", dijo Kristina Balaam, una investigadora de amenazas senior de Lookout. "Estos paquetes de programas espÃa son altamente sofisticados y pueden ser utilizados para recopilar una amplia gama de datos de dispositivos infectados."
Estos hallazgos se presentan mientras Mandiant revela las tácticas en evolución adoptadas por los grupos de espionaje chinos para pasar desapercibidos, que incluyen el uso de dispositivos de red y software de virtualización como armas, el uso de botnets para oscurecer el tráfico entre la infraestructura C2 y los entornos de las vÃctimas, y la canalización de tráfico malicioso dentro de las redes de las vÃctimas a través de sistemas comprometidos.
"El uso de botnets, el enmascaramiento del tráfico en una red comprometida y el direccionamiento de dispositivos de borde no son tácticas nuevas, ni son exclusivas de los actores de ciberespionaje chinos", dijo la firma de inteligencia de amenazas propiedad de Google. "Sin embargo, durante la última década, hemos seguido el uso de estas y otras tácticas por parte de los actores de ciberespionaje chinos como parte de una evolución más amplia hacia operaciones más intencionadas, sigilosas y efectivas."
¿Quieres saber más?