Logiciel malveillant mobile WyrmSpy

Le prolifique acteur d'État-nation soutenu par la Chine, APT41, a récemment été lié à la découverte de deux souches de logiciels espions Android auparavant non documentées, connues sous le nom de WyrmSpy et DragonEgg . APT41 est réputé pour son expertise dans l'exploitation des applications Web et l'infiltration des terminaux traditionnels.

En élargissant son arsenal de logiciels malveillants pour inclure les appareils mobiles, APT 41 démontre clairement l'importance des terminaux mobiles en tant que cibles de grande valeur hébergeant des données d'entreprise et personnelles convoitées. Cela met en évidence l'importance croissante de la sécurisation des appareils mobiles contre les menaces sophistiquées posées par des acteurs de la menace établis comme APT 41.

WyrmSpy peut avoir été utilisé par des cybercriminels pendant des années

L'équipe de cybercriminalité APT41, également reconnue sous divers noms tels que Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, HOODOO, Wicked Panda et Winnti, opère depuis au moins 2007, affichant une présence persistante dans le cyber paysage. Cet acteur de menace sophistiqué a ciblé diverses industries dans le but de contrôler la propriété intellectuelle et les informations sensibles.

Ces derniers temps, APT41 a été responsable du lancement d'attaques utilisant un outil d'équipe rouge open source appelé Google Command and Control (GC2). Ces attaques visaient spécifiquement les médias et les plateformes d'emploi à Taïwan et en Italie, démontrant les tactiques et les cibles en constante évolution du collectif.

Quant à leur campagne de surveillanceware mobile, la méthode exacte d'intrusion initiale reste non divulguée, mais il existe des soupçons d'utilisation de techniques d'ingénierie sociale. WyrmSpy a été détecté pour la première fois dès 2017, indiquant les activités prolongées et continues du groupe dans le domaine mobile. Par la suite, DragonEgg a été identifié au début de 2021, et de nouveaux échantillons de ce malware ont été observés aussi récemment qu'en avril 2023, soulignant la menace continue posée par APT41.

Les capacités menaçantes trouvées dans le malware Android WyrmSpy

WyrmSpy utilise des tactiques trompeuses en se faisant passer pour une application système par défaut chargée d'afficher les notifications des utilisateurs. Dans des variantes ultérieures, le malware a été intégré dans des applications se faisant passer pour du contenu vidéo pour adultes, Baidu Waimai et Adobe Flash. Notamment, il n'y a aucune preuve suggérant que ces applications malveillantes aient jamais été distribuées via le Google Play Store officiel. Le nombre exact de victimes ciblées par WyrmSpy reste inconnu.

La connexion entre WyrmSpy et APT41 devient évidente grâce à son utilisation d'un serveur Command-and-Control (C2) avec l'adresse IP 121[.]42[.]149[.]52. Cette adresse IP correspond au domaine 'vpn2.umisen[.]com' qui a été précédemment associé à l'infrastructure du groupe APT41.

Une fois installé avec succès, WyrmSpy demande des autorisations intrusives, permettant à la menace d'exécuter des activités sophistiquées de collecte et d'exfiltration de données sur l'appareil Android compromis. Le logiciel malveillant est capable de collecter des informations sensibles sur les utilisateurs, notamment des photos, des données de localisation, des messages SMS et des enregistrements audio.

WyrmSpy a également démontré son adaptabilité en utilisant des modules téléchargés à partir d'un serveur C2. Cette approche permet au logiciel malveillant d'améliorer ses capacités de collecte de données tout en évitant la détection.

De plus, WyrmSpy affiche des fonctionnalités avancées, car il peut désactiver Security-Enhanced Linux (SELinux), une fonctionnalité de sécurité du système d'exploitation Android. De plus, il exploite des outils d'enracinement comme KingRoot11 pour obtenir des privilèges élevés sur les appareils mobiles compromis.