Il gruppo di attori di stato cinese noto come APT41 è stato collegato a due nuovi spyware Android, WyrmSpy e DragonEgg. Questi spyware sono stati utilizzati per condurre campagne di sorveglianza e furto di dati, sollevando nuove preoccupazioni sulla sicurezza dei dispositivi mobili.
Dettagli su WyrmSpy e DragonEgg
WyrmSpy e DragonEgg sono due spyware Android che sono stati collegati al gruppo di attori di stato cinese noto come APT41. Questi spyware sono stati utilizzati per condurre campagne di sorveglianza e furto di dati. WyrmSpy è stato rilevato per la prima volta nel 2017, mentre DragonEgg è stato rilevato all’inizio del 2021.
Entrambi gli spyware utilizzano certificati di firma del codice Android sovrapposti, indicando che provengono dagli stessi sviluppatori. Inoltre, entrambi utilizzano un indirizzo di server di comando e controllo (C2) che è stato precedentemente collegato all’APT41.
Funzionalità di WyrmSpy e DragonEgg
WyrmSpy e DragonEgg sono entrambi spyware molto sofisticati. WyrmSpy si maschera principalmente come un’app di sistema predefinita utilizzata per visualizzare notifiche all’utente. Tuttavia, varianti più recenti hanno confezionato il malware in app che si spacciano per contenuti video per adulti, Baidu Waimai e Adobe Flash.
DragonEgg, d’altra parte, è stato distribuito sotto forma di tastiere Android di terze parti e app di messaggistica come Telegram. Non c’è alcuna prova che queste app rogue siano state propagate attraverso il Google Play Store.
Una volta installati, entrambi gli spyware richiedono permessi intrusivi e sono dotati di sofisticate capacità di raccolta ed esfiltrazione dei dati, tra cui foto degli utenti, posizioni, messaggi SMS e registrazioni audio.