• Votre panier est vide.

  • LOGIN

Les pirates APT41 chinois ciblent les appareils mobiles avec les nouveaux logiciels espions WyrmSpy et DragonEgg


Certains articles de veille peuvent faire l'objet de traduction automatique.


19 juil. 2023THNLogiciels espions/sécurité mobile

L’acteur prolifique d’État-nation lié à la Chine connu sous le nom d’APT41 a été lié à deux souches de logiciels espions Android auparavant non documentées appelées WyrmSpy et DragonEgg.

« Connu pour son exploitation des applications Web et l’infiltration des terminaux traditionnels, un acteur de menace établi comme APT 41, y compris le mobile dans son arsenal de logiciels malveillants, montre à quel point les terminaux mobiles sont des cibles de grande valeur avec des données d’entreprise et personnelles convoitées », Lookout a dit dans un rapport partagé avec The Hacker News.

APT41, également suivi sous les noms Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, HOODOO, Wicked Panda et Winnti, est connu pour être opérationnel depuis au moins 2007, ciblant un large éventail d’industries pour mener des vols de propriété intellectuelle. .

Les attaques récentes montées par le collectif contradictoire ont tiré parti d’un outil d’équipe rouge open source connu sous le nom de Google Command and Control (GC2) dans le cadre d’attaques visant les médias et les plateformes d’emploi à Taïwan et en Italie.

Le vecteur d’intrusion initial de la campagne de surveillanceware mobile n’est pas connu, bien qu’il soit soupçonné d’avoir impliqué l’utilisation de l’ingénierie sociale. Lookout a déclaré avoir détecté pour la première fois WyrmSpy dès 2017 et DragonEgg au début de 2021, avec de nouveaux échantillons de ce dernier repérés aussi récemment qu’en avril 2023.

WyrmSpy se fait principalement passer pour une application système par défaut utilisée pour afficher des notifications à l’utilisateur. Cependant, des variantes ultérieures ont intégré le logiciel malveillant dans des applications se faisant passer pour du contenu vidéo pour adultes, Baidu Waimai et Adobe Flash. D’autre part, DragonEgg a été distribué sous la forme de claviers Android tiers et d’applications de messagerie comme Telegram.

Il n’y a aucune preuve que ces applications malveillantes ont été distribuées via le Google Play Store.

Les connexions de WyrmSpy et DragonEgg à APT41 résultent de l’utilisation d’une commande et d’un serveur (C2) avec l’adresse IP 121.42.149[.]52, qui se résout en un domaine (« vpn2.umisen[.]com ») précédemment identifié comme associé à l’infrastructure du groupe.

Une fois installées, les deux souches de logiciels malveillants demandent des autorisations intrusives et sont équipées de capacités sophistiquées de collecte et d’exfiltration de données, récoltant les photos, les emplacements, les messages SMS et les enregistrements audio des utilisateurs.

Le logiciel malveillant a également été observé en s’appuyant sur des modules qui sont téléchargés à partir d’un serveur C2 désormais hors ligne après l’installation de l’application pour faciliter la collecte de données, tout en évitant simultanément la détection.

WyrmSpy, pour sa part, est capable de désactiver Security-Enhanced Linux (SELinux), une fonctionnalité de sécurité d’Android, et d’utiliser des outils d’enracinement tels que KingRoot11 pour obtenir des privilèges élevés sur les combinés compromis. Une caractéristique notable de DragonEgg est qu’il établit un contact avec le serveur C2 pour récupérer un module tertiaire inconnu qui se présente comme un programme médico-légal.

WEBINAIRE À VENIR

Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS

Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.

Joignez aujourd’hui

« La découverte de WyrmSpy et DragonEgg est un rappel de la menace croissante posée par les logiciels malveillants Android avancés », a déclaré Kristina Balaam, chercheuse principale sur les menaces chez Lookout. « Ces packages de logiciels espions sont très sophistiqués et peuvent être utilisés pour collecter un large éventail de données à partir d’appareils infectés. »

Les découvertes surviennent alors que Mandiant a révélé l’évolution des tactiques adoptées par les équipes d’espionnage chinoises pour voler sous le radar, y compris la militarisation des dispositifs de réseau et des logiciels de virtualisation, l’utilisation de botnets pour obscurcir le trafic entre l’infrastructure C2 et les environnements des victimes, et la tunnellisation du trafic malveillant à l’intérieur des réseaux des victimes via des réseaux compromis. systèmes.

« L’utilisation de botnets, la transmission par proxy du trafic dans un réseau compromis et le ciblage des appareils périphériques ne sont pas de nouvelles tactiques, ni propres aux acteurs chinois du cyberespionnage », a déclaré la société de renseignement sur les menaces appartenant à Google. « Cependant, au cours de la dernière décennie, nous avons suivi l’utilisation de ces tactiques et d’autres par les acteurs du cyberespionnage chinois dans le cadre d’une évolution plus large vers des opérations plus ciblées, furtives et efficaces. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

juillet 19, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)