Китайские хакеры APT41 обрушили свой огненный гнев на ничего не подозревающих Android-пользователей

Китайская хакерская группировка APT41, также известная как Axiom, Blackfly и Wicked Panda, недавно была связана исследователями с двумя Android-шпионами, известными как «WyrmSpy» и «DragonEgg». Об этом сообщили эксперты компании Lookout в своём новом отчёте .

APT41 действует как минимум с 2007 года и атакует компании в самых разных отраслях с целью кражи интеллектуальной собственности. Недавно хакеры использовали в своих атаках на медиакомпании и биржи труда в Тайване и Италии общедоступный инструмент для пентеста под названием GC2 .

Первоначальный вектор заражения неизвестен, но предположительно злоумышленники использовали методы социальной инженерии. Эксперты Lookout впервые обнаружили WyrmSpy в 2017 году, а DragonEgg — в начале 2021 года. При этом новые образцы последнего регистрировались вплоть до апреля 2023 года.

WyrmSpy изначально маскировался под системное приложение для уведомлений, а более поздние версии притворялись сервисом доставки Baidu Waimai, Adobe Flash Player и даже приложением для просмотра порнографии. DragonEgg же распространялся под видом клавиатур и мессенджеров, например, Telegram. Связь шпионов с APT41 подтверждается использованием одного и того же адреса C2-сервера.

Закрепившись в системе, вредоносы запрашивают вредоносные разрешения и крадут фото, геоданные, SMS и аудиозаписи пользователей. Они также способны загружать дополнительные модули для сбора данных и обхода детектирования.

Изученные исследователями экземпляры WyrmSpy могли отключать защиту SELinux в Android и получать root -доступ благодаря утилите KingRoot11 и подобным. прав. А вот отличительная черта DragonEgg — загрузка неизвестного модуля, маскирующегося под средство компьютерной криминалистики.

«Обнаружение WyrmSpy и DragonEgg напоминает о растущей угрозе со стороны продвинутых Android-троянов, — говорит старший исследователь угроз Lookout Кристина Балам.

«Эти шпионские инструменты чрезвычайно изощрённые и позволяют собирать широкий спектр данных с заражённых устройств», — заключил эксперт.

Главной рекомендацией в защите от Android-вредоносов является установка приложений только из официальных магазинов приложений. Да и там не стоит скачивать всё подряд, всегда обращая внимание на издателя и отзывы к выбранному приложению.