Il software di sorveglianza Android attribuito al gruppo cinese APT41 è stato recentemente scoperto, secondo gli esperti di Lookout. Gli attacchi di gruppi di hacker come APT41, che si concentrano sui dispositivi mobili, mostrano che gli endpoint mobili sono obiettivi di alto valore con dati ambiti.
WyrmSpy e DragonEgg sono le due nuove pericolose varianti del software di sorveglianza Android scoperte da Lookout. Queste app spia sono attribuite al noto gruppo di minacce cinese APT41. Sebbene il governo degli Stati Uniti abbia presentato più accuse per gli attacchi del gruppo a più di 100 società pubbliche e private negli Stati Uniti e in tutto il mondo, le loro tattiche si sono estese anche ai dispositivi mobili. I clienti di Lookout Mobile Endpoint Security sono protetti da queste minacce.
APT41 cinese: gruppo di spionaggio sponsorizzato dallo stato
APT41, noto anche come Double Dragon, BARIUM e Winnti, è un gruppo di spionaggio sponsorizzato dallo stato attivo dal 2012. Nell'agosto 2019 e nell'agosto 2020, cinque dei loro hacker sono stati incriminati da una giuria federale a Washington, DC per una campagna di intrusione informatica che ha colpito dozzine di aziende negli Stati Uniti e all'estero. Questi includevano società di sviluppo software, produttori di hardware per computer, fornitori di telecomunicazioni, società di social media, società di videogiochi, organizzazioni senza scopo di lucro, università, gruppi di riflessione, governi stranieri e politici e attivisti pro-democrazia a Hong Kong.
Un noto attore di minacce come APT 41, noto per sfruttare le applicazioni Web e infiltrarsi negli endpoint tradizionali, sta aggiungendo dispositivi mobili al suo arsenale di malware. Ciò dimostra che i dispositivi mobili sono obiettivi di alto valore con ambiti dati aziendali e personali.
La cosa più importante di questa scoperta attuale
- Sia WyrmSpy che DragonEgg hanno sofisticate capacità di raccolta dati ed esfiltrazione. I ricercatori di Lookout ritengono che vengano distribuiti alle vittime tramite campagne di ingegneria sociale.
- Entrambi utilizzano moduli per nascondere il loro intento dannoso ed evitare il rilevamento.
- WyrmSpy è in grado di raccogliere una varietà di dati da dispositivi infetti, inclusi file di registro, foto, posizione del dispositivo, messaggi SMS e registrazioni audio. Principalmente si traveste da un'applicazione di sistema Android standard che mostra le notifiche all'utente. Le varianti successive hanno anche impacchettato il malware in app mascherate da contenuti video per adulti, la piattaforma di consegna di cibo Baidu Waimai e Adobe Flash.
- DragonEgg è stato osservato in app mascherate da tastiere Android di terze parti e app di messaggistica come Telegram.
Minaccia avanzata di malware per Android
"La scoperta di WyrmSpy e DragonEgg è un'indicazione della crescente minaccia del malware Android avanzato", ha affermato Kristina Balaam, Senior Threat Researcher, Lookout Collect Devices. Invitiamo gli utenti Android a essere consapevoli della minaccia e ad adottare misure per proteggere i propri dispositivi, il proprio lavoro e le proprie informazioni personali".
I ricercatori di Lookout Threat Labs monitorano attivamente lo spyware dal 2020 e forniscono informazioni ai clienti di Lookout Mobile Endpoint Security. Il Lookout Security Graph sfrutta l'intelligenza artificiale di oltre 215 milioni di dispositivi e 190 milioni di app, acquisendo 4,5 milioni di URL al giorno. Lookout protegge i propri clienti da phishing, app, dispositivi e minacce di rete nel rispetto della privacy degli utenti.
Altro su Lookout.com
A proposito di Lookout I co-fondatori di Lookout John Hering, Kevin Mahaffey e James Burgess si sono riuniti nel 2007 con l'obiettivo di proteggere le persone dai rischi per la sicurezza e la privacy posti da un mondo sempre più connesso. Ancor prima che gli smartphone fossero nelle tasche di tutti, si sono resi conto che la mobilità avrebbe avuto un profondo impatto sul modo in cui lavoriamo e viviamo.