El famoso grupo de ciberespionaje vinculado a China, conocido como APT41, ha sido relacionado con dos nuevas variantes de spyware para Android, llamadas WyrmSpy y DragonEgg.
«APT41 es conocido por explotar aplicaciones web y infiltrarse en dispositivos tradicionales», comentó Lookout en un informe compartido. «El hecho de que un grupo de ciberespionaje tan establecido incluya dispositivos móviles en su arsenal de malware demuestra que estos son objetivos valiosos con datos corporativos y personales muy codiciados.»
APT41, también rastreado con los nombres Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, HOODOO, Wicked Panda y Winnti, ha estado operativo desde al menos 2007. Este grupo ha estado apuntando a una amplia gama de industrias para llevar a cabo el robo de propiedad intelectual.
Los ataques recientes realizados por este colectivo han utilizado una herramienta de código abierto conocida como Google Command and Control (GC2). Esta herramienta ha sido parte de los ataques dirigidos a plataformas de medios y empleo en Taiwán e Italia.
No se conoce el vector de intrusión inicial para la campaña de vigilancia móvil, aunque se sospecha que pudo haber involucrado el uso de ingeniería social. Lookout mencionó que detectó WyrmSpy desde 2017 y DragonEgg a principios de 2021. Se han detectado nuevas muestras de este último tan recientemente como en abril de 2023.
WyrmSpy se disfraza principalmente como una aplicación de sistema predeterminada utilizada para mostrar notificaciones al usuario. Sin embargo, variantes posteriores han empaquetado el malware en aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash.
Por otro lado, DragonEgg ha sido distribuido en forma de teclados Android de terceros y aplicaciones de mensajería como Telegram. No hay evidencia de que estas aplicaciones falsas se hayan propagado a través de la Google Play Store.
Las conexiones de WyrmSpy y DragonEgg con APT41 surgen del uso de un servidor de comando y control (C2) con la dirección IP 121.42.149[.]52. Este servidor resuelve a un dominio («vpn2.umisen[.]com») previamente identificado como asociado con la infraestructura del grupo.
Una vez instaladas, ambas variantes de malware solicitan permisos intrusivos. Vienen equipadas con sofisticadas capacidades de recolección y exfiltración de datos, recolectando fotos, ubicaciones, mensajes de SMS y grabaciones de audio de los usuarios.
El malware también ha sido observado dependiendo de módulos que se descargan de un servidor C2 ahora fuera de línea después de la instalación de la aplicación. Esto facilita la recolección de datos, mientras evita simultáneamente la detección.
WyrmSpy, por su parte, es capaz de desactivar Security-Enhanced Linux (SELinux), una característica de seguridad en Android. También hace uso de herramientas de rooting como KingRoot11 para obtener privilegios elevados en los teléfonos comprometidos.
Una característica notable de DragonEgg es que establece contacto con el servidor C2 para buscar un módulo terciario desconocido que se hace pasar por un programa forense. «
El descubrimiento de WyrmSpy y DragonEgg es un recordatorio de la creciente amenaza que suponen los malware avanzados para Android», dijo Kristina Balaam, investigadora senior de amenazas en Lookout. «Estos paquetes de spyware son altamente sofisticados y pueden ser utilizados para recoger una amplia gama de datos de los dispositivos infectados.»
Estos hallazgos llegan cuando Mandiant reveló las tácticas en evolución adoptadas por los equipos de espionaje chinos para volar bajo el radar. Estas tácticas incluyen la utilización de dispositivos de red y software de virtualización, empleando botnets para ofuscar el tráfico entre la infraestructura C2 y los entornos de las víctimas, y canalizando el tráfico malicioso dentro de las redes de las víctimas a través de sistemas comprometidos.
«El uso de botnets, proxying de tráfico en una red comprometida, y el targeting de dispositivos periféricos no son tácticas nuevas, ni son únicas para los actores chinos de espionaje cibernético», comentó la firma de inteligencia de amenazas propiedad de Google.
«Sin embargo, durante la última década, hemos rastreado el uso de estas y otras tácticas por parte de los actores de espionaje cibernético chinos como parte de una evolución más amplia hacia operaciones más propositivas, sigilosas y efectivas.»
