WyrmSpy Mobile-Malware

Der produktive, von China unterstützte nationalstaatliche Akteur APT41 wurde kürzlich mit der Entdeckung zweier bisher undokumentierter Arten von Android-Spyware namens WyrmSpy und DragonEgg in Verbindung gebracht. APT41 ist bekannt für seine Expertise bei der Ausnutzung webbasierter Anwendungen und der Infiltration herkömmlicher Endpunktgeräte.

Durch die Ausweitung seines Malware-Arsenals auf mobile Geräte zeigt APT 41 deutlich die Bedeutung mobiler Endpunkte als hochwertige Ziele für die Speicherung begehrter Unternehmens- und persönlicher Daten. Dies unterstreicht die zunehmende Bedeutung des Schutzes mobiler Geräte vor raffinierten Bedrohungen durch etablierte Bedrohungsakteure wie APT 41.

WyrmSpy wird möglicherweise schon seit Jahren von Cyberkriminellen verwendet

Das Cyberkriminalitätsunternehmen APT41, das auch unter verschiedenen Namen wie Axiom, Blackfly, Brass Typhoon (ehemals Barium), Bronze Atlas, HOODOO, Wicked Panda und Winnti bekannt ist, ist seit mindestens 2007 tätig und weist eine anhaltende Präsenz in der Cyberlandschaft auf. Dieser hochentwickelte Bedrohungsakteur hat verschiedene Branchen ins Visier genommen, um geistiges Eigentum und sensible Informationen zu stehlen.

In jüngster Zeit war APT41 für Angriffe verantwortlich, bei denen ein Open-Source-Red-Teaming-Tool namens Google Command and Control (GC2) zum Einsatz kam. Diese Angriffe richteten sich speziell gegen Medien und Jobplattformen in Taiwan und Italien und zeigten die sich ständig weiterentwickelnden Taktiken und Ziele des Kollektivs.

Was ihre mobile Surveillanceware-Kampagne betrifft, so ist die genaue Methode des anfänglichen Eindringens noch nicht bekannt gegeben, es besteht jedoch der Verdacht, dass Social-Engineering-Techniken zum Einsatz kommen. WyrmSpy wurde bereits 2017 erstmals entdeckt, was auf die anhaltenden Aktivitäten der Gruppe im mobilen Bereich hinweist. Anschließend wurde DragonEgg Anfang 2021 identifiziert und erst im April 2023 wurden neue Proben dieser Malware beobachtet, was die anhaltende Bedrohung durch APT41 unterstreicht.

Die bedrohlichen Fähigkeiten der Android-Malware WyrmSpy

WyrmSpy nutzt betrügerische Taktiken, indem es sich als Standardsystemanwendung ausgibt, die für die Anzeige von Benutzerbenachrichtigungen verantwortlich ist. In späteren Varianten wurde die Malware in Anwendungen eingebettet, die sich als Videoinhalte für Erwachsene ausgeben, Baidu Waimai und Adobe Flash. Insbesondere gibt es keine Hinweise darauf, dass diese betrügerischen Apps jemals über den offiziellen Google Play Store verbreitet wurden. Die genaue Anzahl der von WyrmSpy angegriffenen Opfer ist weiterhin unbekannt.

Die Verbindung zwischen WyrmSpy und APT41 wird durch die Nutzung eines Command-and-Control (C2)-Servers mit der IP-Adresse 121[.]42[.]149[.]52 deutlich. Diese IP-Adresse entspricht der Domäne „vpn2.umisen[.]com“, die zuvor mit der Infrastruktur der APT41-Gruppe verknüpft wurde.

Nach erfolgreicher Installation fordert WyrmSpy aufdringliche Berechtigungen an, wodurch die Bedrohung komplexe Datenerfassungs- und Exfiltrationsaktivitäten auf dem kompromittierten Android-Gerät ausführen kann. Die Malware ist in der Lage, vertrauliche Benutzerinformationen wie Fotos, Standortdaten, SMS-Nachrichten und Audioaufzeichnungen zu sammeln.

WyrmSpy hat seine Anpassungsfähigkeit auch durch die Verwendung von Modulen unter Beweis gestellt, die von einem C2-Server heruntergeladen werden. Dieser Ansatz ermöglicht es der Malware, ihre Datenerfassungsfähigkeiten zu verbessern und gleichzeitig der Erkennung zu entgehen.

Darüber hinaus bietet WyrmSpy erweiterte Funktionalitäten, da es Security-Enhanced Linux (SELinux), eine Sicherheitsfunktion innerhalb des Android-Betriebssystems, deaktivieren kann. Darüber hinaus nutzt es Root-Tools wie KingRoot11 aus, um erweiterte Berechtigungen auf kompromittierten Mobilgeräten zu erlangen.