Logiciel malveillant mobile DragonEgg

Selon des chercheurs en sécurité, un groupe d'espionnage parrainé par l'État chinois identifié comme APT41, également connu sous d'autres pseudonymes tels que Barium, Earth Baku et Winnti, a activement utilisé WyrmSpy et le logiciel malveillant espion DragonEgg pour cibler les appareils mobiles Android. Bien qu'APT41 ait l'habitude de s'appuyer sur les attaques d'applications Web et les vulnérabilités logicielles pour cibler des organisations du monde entier, il a récemment modifié ses tactiques pour développer des logiciels malveillants spécifiquement adaptés au système d'exploitation Android.

Dans cette nouvelle approche, APT41 utilise son infrastructure de commande et de contrôle existante, ses adresses IP et ses domaines pour communiquer avec et contrôler les deux variantes de logiciels malveillants, WyrmSpy et DragonEgg, spécialement conçues pour les appareils Android. Ce changement stratégique met en évidence l'adaptabilité et la volonté du groupe d'exploiter les plates-formes mobiles dans ses campagnes d'espionnage, présentant un paysage de menaces en évolution pour les organisations du monde entier.

APT41 étend son arsenal menaçant d'outils

APT41 a probablement utilisé des tactiques d'ingénierie sociale pour distribuer les menaces de logiciels espions WyrmSpy et DragonEgg aux appareils Android. Ils y sont parvenus en déguisant WyrmSpy en application système Android par défaut et DragonEgg en claviers et applications de messagerie Android tiers, y compris des plates-formes populaires telles que Telegram. À l'heure actuelle, il n'est pas clair si la distribution de ces deux types de logiciels malveillants s'est produite via le Google Play Store officiel ou via des fichiers .apk provenant d'autres sources.

Un point d'intérêt important est l'utilisation par le groupe de certificats de signature Android similaires pour WyrmSpy et DragonEgg. Cependant, se fier uniquement à cette similitude n'est pas suffisant pour une attribution précise, car les groupes de menaces chinois sont connus pour partager des outils et des techniques de piratage, ce qui rend l'identification difficile. La preuve concluante qui a conduit à leur attribution a été la découverte que l'infrastructure de commande et de contrôle (C2) du logiciel malveillant comportait l'adresse IP et le domaine Web exacts qu'APT41 avait utilisés dans plusieurs campagnes s'étalant de mai 2014 à août 2020. Ce lien crucial a solidifié l'association du logiciel espion mobile avec l'acteur menaçant APT41.

L'utilisation de techniques d'ingénierie sociale et la manipulation d'applications Android pour diffuser des logiciels malveillants de surveillance soulignent l'importance de la sécurité des appareils mobiles. Les utilisateurs sont invités à faire preuve de prudence lors du téléchargement d'applications à partir de sources non officielles et à utiliser des solutions de sécurité réputées pour se protéger contre de telles attaques ciblées. De plus, rester vigilant contre les tentatives d'ingénierie sociale et mettre à jour régulièrement les logiciels peut aider à atténuer le risque d'être victime d'applications menaçantes telles que WyrmSpy et DragonEgg.

DragonEgg siphonne les informations sensibles des appareils Android compromis

DragonEgg présente un niveau d'intrusion inquiétant car il demande des autorisations étendues lors de l'installation. Ce malware de surveillance est équipé de capacités avancées de collecte et d'exfiltration de données. De plus, DragonEgg exploite une charge utile secondaire appelée smallmload.jar, qui accorde au malware des fonctionnalités supplémentaires, lui permettant d'exfiltrer diverses données sensibles de l'appareil infecté. Cela inclut les fichiers de stockage de l'appareil, les photos, les contacts, les messages et les enregistrements audio. Un autre aspect remarquable de DragonEgg est sa communication avec un serveur de commande et de contrôle (C2) pour récupérer un module tertiaire inconnu qui se fait passer pour un programme médico-légal.

La découverte de WyrmSpy et DragonEgg est un rappel poignant de la menace croissante posée par les logiciels malveillants Android sophistiqués. Ces packages de logiciels espions représentent une menace redoutable, capable de collecter furtivement une large gamme de données à partir d'appareils compromis. Alors que le paysage des logiciels malveillants Android avancés continue d'évoluer, il devient de plus en plus crucial pour les utilisateurs de rester vigilants et de prendre des mesures proactives pour protéger leurs appareils et leurs informations personnelles. Utiliser des solutions de sécurité réputées, faire preuve de prudence lors de l'installation d'applications et rester informé des menaces émergentes sont des étapes essentielles pour atténuer le risque posé par ces logiciels malveillants de surveillance avancée.