O software de vigilância Android atribuído ao grupo chinês APT41 foi descoberto recentemente, de acordo com especialistas da Lookout. Ataques de grupos de hackers como o APT41, que se concentram em dispositivos móveis, mostram que os endpoints móveis são alvos de alto valor com dados cobiçados.
WyrmSpy e DragonEgg são as duas novas variantes perigosas do software de vigilância Android descobertas pela Lookout. Esses aplicativos espiões são atribuídos ao conhecido grupo de ameaças chinês APT41. Embora o governo dos EUA tenha apresentado várias acusações pelos ataques do grupo a mais de 100 empresas privadas e públicas nos EUA e em todo o mundo, suas táticas também se estenderam aos dispositivos móveis. Os clientes do Lookout Mobile Endpoint Security estão protegidos contra essas ameaças.
APT41 chinês: grupo de espionagem patrocinado pelo Estado
APT41, também conhecido como Double Dragon, BARIUM e Winnti, é um grupo de espionagem patrocinado pelo estado ativo desde 2012. Em agosto de 2019 e agosto de 2020, cinco de seus hackers foram indiciados por um júri federal em Washington, DC por uma campanha de invasão de computadores que afetou dezenas de empresas nos EUA e no exterior. Isso incluiu empresas de desenvolvimento de software, fabricantes de hardware de computador, provedores de telecomunicações, empresas de mídia social, empresas de videogames, organizações sem fins lucrativos, universidades, think tanks, governos estrangeiros e políticos e ativistas pró-democracia em Hong Kong.
Um agente de ameaça estabelecido como o APT 41, conhecido por explorar aplicativos da Web e se infiltrar em endpoints tradicionais, está adicionando dispositivos móveis ao seu arsenal de malware. Isso mostra que os dispositivos móveis são alvos de alto valor com dados corporativos e pessoais cobiçados.
A coisa mais importante sobre esta descoberta atual
- Tanto o WyrmSpy quanto o DragonEgg possuem recursos sofisticados de coleta e exfiltração de dados. Os pesquisadores da Lookout acreditam que eles são distribuídos às vítimas por meio de campanhas de engenharia social.
- Ambos usam módulos para ocultar suas intenções maliciosas e evitar a detecção.
- O WyrmSpy é capaz de coletar uma variedade de dados de dispositivos infectados, incluindo arquivos de log, fotos, localização do dispositivo, mensagens SMS e gravações de áudio. Ele se disfarça principalmente como um aplicativo padrão do sistema Android que exibe notificações para o usuário. Variantes posteriores também empacotaram o malware em aplicativos disfarçados de conteúdo de vídeo adulto, na plataforma de entrega de comida Baidu Waimai e no Adobe Flash.
- O DragonEgg foi observado em aplicativos disfarçados de teclados Android de terceiros e aplicativos de mensagens como o Telegram.
Ameaça avançada de malware Android
"A descoberta do WyrmSpy e do DragonEgg é uma indicação da crescente ameaça de malware Android avançado", disse Kristina Balaam, Pesquisadora Sênior de Ameaças da Lookout Collect Devices. Pedimos aos usuários do Android que estejam cientes da ameaça e tomem medidas para proteger seus dispositivos, seu trabalho e suas informações pessoais."
Os pesquisadores do Lookout Threat Labs têm rastreado ativamente o spyware desde 2020 e estão fornecendo informações aos clientes do Lookout Mobile Endpoint Security. O Lookout Security Graph aproveita a inteligência de máquina de mais de 215 milhões de dispositivos e 190 milhões de aplicativos, capturando 4,5 milhões de URLs diariamente. A Lookout protege seus clientes contra ameaças de phishing, aplicativos, dispositivos e redes, respeitando a privacidade do usuário.
Mais em Lookout.com
Sobre o Mirante Os cofundadores da Lookout, John Hering, Kevin Mahaffey e James Burgess, se uniram em 2007 com o objetivo de proteger as pessoas dos riscos de segurança e privacidade impostos por um mundo cada vez mais conectado. Mesmo antes de os smartphones estarem no bolso de todos, eles perceberam que a mobilidade teria um impacto profundo na maneira como trabalhamos e vivemos.