WyrmSpy モバイル マルウェア

中国が支援する多作の国民国家攻撃者である APT41 は、最近、WyrmSpy およびDragonEggとして知られる、これまで文書化されていなかった 2 つの Android スパイウェアの発見に関与していると関連付けられています。 APT41 は、Web 対応アプリケーションの悪用と従来のエンドポイント デバイスへの侵入に関する専門知識で知られています。

APT 41 は、マルウェアの武器をモバイル デバイスにまで拡大することで、切望される企業データや個人データを収容する高価値の標的としてのモバイル エンドポイントの重要性を明確に示しています。これは、APT 41 のような既存の脅威アクターによってもたらされる高度な脅威からモバイル デバイスを保護することの重要性が高まっていることを浮き彫りにしています。

WyrmSpyはサイバー犯罪者によって長年使用されてきた可能性がある

サイバー犯罪組織 APT41 は、Axiom、Blackfly、Brass タイフーン (旧 Barium)、Bronze Atlas、HOODOO、Wicked Panda、Winnti などのさまざまな名前でも知られており、少なくとも 2007 年から活動しており、サイバー環境で持続的な存在感を示しています。この洗練された攻撃者は、知的財産や機密情報を扱うことを目的として、さまざまな業界をターゲットにしています。

最近では、APT41 は、Google Command and Control (GC2) と呼ばれるオープンソースのレッド チーミング ツールを使用した攻撃を開始する役割を果たしています。これらの攻撃は特に台湾とイタリアのメディアと求人プラットフォームに向けられており、この集団の常に進化する戦術と標的を示しています。

モバイル監視ウェア キャンペーンに関しては、最初の侵入の正確な方法はまだ明らかにされていませんが、ソーシャル エンジニアリング技術が使用されている疑いがあります。 WyrmSpy は 2017 年に初めて検出されており、このグループがモバイル分野で長期にわたり継続的に活動を行っていたことを示しています。その後、2021 年の初めに DragonEgg が特定され、最近では 2023 年 4 月にこのマルウェアの新しいサンプルが観察され、APT41 によってもたらされる継続的な脅威が強調されました。

WyrmSpy Android マルウェアに見つかった脅威機能

WyrmSpy は、ユーザー通知を表示するデフォルトのシステム アプリケーションを装って、欺瞞的な戦術を採用します。その後のバリエーションでは、このマルウェアはアダルト ビデオ コンテンツ、Baidu Waimai、Adobe Flash を装ったアプリケーションに埋め込まれています。特に、これらの不正アプリが公式の Google Play ストアを通じて配布されたことを示唆する証拠はありません。 WyrmSpy の標的となった正確な被害者の数は不明のままです。

WyrmSpy と APT41 の間の接続は、IP アドレス 121[.]42[.]149[.]52 を持つコマンド アンド コントロール (C2) サーバーの利用を通じて明らかになります。この IP アドレスは、APT41 グループのインフラストラクチャに以前に関連付けられていたドメイン「vpn2.umisen[.]com」に対応します。

インストールに成功すると、WyrmSpy は侵入的なアクセス許可を要求し、感染した Android デバイス上で高度なデータ収集と漏洩活動を実行できるようになります。このマルウェアは、写真、位置データ、SMS メッセージ、音声録音などの機密ユーザー情報を収集することができます。

WyrmSpy は、C2 サーバーからダウンロードされたモジュールを利用することで適応性を実証しました。このアプローチにより、マルウェアは検出を回避しながらデータ収集機能を強化できます。

さらに、WyrmSpy は、Android オペレーティング システム内のセキュリティ機能である Security-Enhanced Linux (SELinux) を無効にすることができるため、高度な機能を備えています。さらに、KingRoot11 などのルート化ツールを悪用して、侵害されたモバイル デバイス上で昇格された権限を取得します。