マルチライセンス割引
Threat Database Mobile Malware DragonEgg モバイル マルウェア

DragonEgg モバイル マルウェア

Mobile Malware, Advanced Persistent Threat (APT), SpywareMezoまで
翻訳内容:
日本語

セキュリティ研究者らによると、APT41 として特定される中国国家支援のスパイ集団は、Barium、Earth Baku、Winnti などの別名でも知られ、Android モバイル デバイスをターゲットに WyrmSpy および DragonEgg スパイウェア マルウェアを積極的に使用しています。 APT41には、Web アプリケーション攻撃やソフトウェアの脆弱性を利用して世界中の組織を標的にしてきた歴史がありますが、最近ではその戦術を変更し、Android オペレーティング システム専用にカスタマイズされたマルウェアを開発しています。

この新しいアプローチでは、APT41 は既存のコマンド アンド コントロール インフラストラクチャ、IP アドレス、ドメインを利用して、Android デバイス向けに特別に設計された 2 つのマルウェア亜種、 WyrmSpyと DragonEgg と通信し、制御します。この戦略的転換は、スパイ活動においてモバイル プラットフォームを悪用する同グループの適応力と意欲を示しており、世界中の組織にとって進化する脅威の状況を示しています。

APT41 は脅威となるツールを拡大中

APT41 は、ソーシャル エンジニアリング戦術を使用して、WyrmSpy および DragonEgg スパイウェアの脅威を Android デバイスに配布した可能性があります。彼らは、WyrmSpy をデフォルトの Android システム アプリケーションとして偽装し、DragonEgg をサードパーティの Android キーボードおよびメッセージング アプリケーション (Telegram などの人気のあるプラットフォームを含む) として偽装することでこれを実現しました。現時点では、これら 2 種類のマルウェアの配布が公式の Google Play ストアを通じて行われたのか、他のソースからの .apk ファイルを通じて行われたのかは不明のままです。

重要な興味深い点は、このグループが WyrmSpy と DragonEgg の両方に同様の Android 署名証明書を使用していることです。ただし、中国の脅威グループはハッキング ツールや技術を共有していることが知られており、特定が困難であるため、この類似性にのみ依存するだけでは正確な帰属を特定するのに十分ではありません。その帰属を明らかにする決定的な証拠は、マルウェアのコマンド アンド コントロール (C2) インフラストラクチャに、2014 年 5 月から 2020 年 8 月にわたる複数のキャンペーンで APT41 が使用した正確な IP アドレスと Web ドメインが含まれていたことが発見されました。この重要なリンクにより、モバイル スパイウェアと APT41 脅威アクターとの関連性が強固になりました。

ソーシャル エンジニアリング技術の使用と Android アプリケーションの操作による監視マルウェアの配信は、モバイル デバイスのセキュリティの重要性を強調しています。ユーザーは、非公式のソースからアプリケーションをダウンロードする際には注意し、そのような標的型攻撃から保護するために信頼できるセキュリティ ソリューションを採用することをお勧めします。さらに、ソーシャル エンジニアリングの試みに対して常に警戒し、ソフトウェアを定期的に更新することで、WyrmSpy や DragonEgg などの脅威となるアプリケーションの被害に遭うリスクを軽減できます。

DragonEgg が侵害された Android デバイスから機密情報を吸い出す

DragonEgg は、インストール時に広範な許可を要求するため、懸念されるレベルの侵入性を示します。この監視マルウェアには、高度なデータ収集および抽出機能が備わっています。さらに、DragonEgg は、smallmload.jar と呼ばれるセカンダリ ペイロードを利用し、マルウェアにさらなる機能を付与し、感染したデバイスからさまざまな機密データを抜き出すことができます。これには、デバイスのストレージ ファイル、写真、連絡先、メッセージ、音声録音が含まれます。 DragonEgg のもう 1 つの注目すべき点は、フォレンジック プログラムを装った未知の 3 次モジュールを取得するためのコマンド アンド コントロール (C2) サーバーとの通信です。

WyrmSpy と DragonEgg の発見は、洗練された Android マルウェアによってもたらされる脅威の増大を痛烈に思い出させます。これらのスパイウェア パッケージは、侵害されたデバイスから広範囲のデータを密かに収集できる恐るべき脅威です。高度な Android マルウェアの状況が進化し続けるにつれて、ユーザーが常に警戒し、デバイスと個人情報を保護するための事前の対策を講じることがますます重要になっています。このような高度な監視マルウェアによってもたらされるリスクを軽減するには、信頼できるセキュリティ ソリューションを採用し、アプリケーションのインストール時に注意し、新たな脅威に関する情報を常に入手することが重要な手順となります。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...