Malware móvil DragonEgg

Según los investigadores de seguridad, un grupo de espionaje patrocinado por el estado chino identificado como APT41, también conocido por otros alias como Bario, Earth Baku y Winnti, ha estado empleando activamente WyrmSpy y el malware de spyware DragonEgg para apuntar a dispositivos móviles Android. Si bien APT41 tiene un historial de confiar en los ataques de aplicaciones web y las vulnerabilidades de software para atacar a organizaciones en todo el mundo, recientemente modificó sus tácticas para desarrollar malware diseñado específicamente para el sistema operativo Android.

En este nuevo enfoque, APT41 utiliza su infraestructura de comando y control, direcciones IP y dominios existentes para comunicarse y controlar las dos variantes de malware, WyrmSpy y DragonEgg, diseñadas específicamente para dispositivos Android. Este cambio estratégico muestra la adaptabilidad y la disposición del grupo para explotar plataformas móviles en sus campañas de espionaje, presentando un panorama de amenazas en evolución para las organizaciones a nivel mundial.

APT41 está ampliando su amenazante arsenal de herramientas

APT41 probablemente empleó tácticas de ingeniería social para distribuir las amenazas de spyware WyrmSpy y DragonEgg a dispositivos Android. Lo lograron disfrazando WyrmSpy como una aplicación predeterminada del sistema Android y DragonEgg como teclados y aplicaciones de mensajería Android de terceros, incluidas plataformas populares como Telegram. Hasta el momento, no está claro si la distribución de estos dos tipos de malware se produjo a través de la tienda oficial de Google Play o mediante archivos .apk de otras fuentes.

Un punto importante de interés es el uso por parte del grupo de certificados de firma de Android similares para WyrmSpy y DragonEgg. Sin embargo, confiar únicamente en esta similitud no es suficiente para una atribución precisa, ya que se sabe que los grupos de amenazas chinos comparten herramientas y técnicas de piratería, lo que dificulta la identificación. La evidencia concluyente que condujo a su atribución fue el descubrimiento de que la infraestructura de comando y control (C2) del malware presentaba la dirección IP y el dominio web exactos que APT41 había usado en múltiples campañas que abarcaron desde mayo de 2014 hasta agosto de 2020. Este vínculo crucial consolidó la asociación del spyware móvil con el actor de amenazas APT41.

El uso de técnicas de ingeniería social y la manipulación de aplicaciones de Android para entregar malware de vigilancia subraya la importancia de la seguridad de los dispositivos móviles. Se recomienda a los usuarios que tengan cuidado al descargar aplicaciones de fuentes no oficiales y empleen soluciones de seguridad acreditadas para protegerse contra tales ataques dirigidos. Además, permanecer atento a los intentos de ingeniería social y actualizar el software con regularidad puede ayudar a mitigar el riesgo de ser víctima de aplicaciones amenazantes como WyrmSpy y DragonEgg.

DragonEgg extrae información confidencial de dispositivos Android comprometidos

DragonEgg exhibe un nivel preocupante de intrusión, ya que solicita permisos extensos al momento de la instalación. Este malware de vigilancia está equipado con capacidades avanzadas de recopilación y exfiltración de datos. Además, DragonEgg aprovecha una carga útil secundaria llamada smallmload.jar, que otorga al malware más funcionalidades, lo que le permite filtrar varios datos confidenciales del dispositivo infectado. Esto incluye archivos de almacenamiento del dispositivo, fotos, contactos, mensajes y grabaciones de audio. Otro aspecto notable de DragonEgg es su comunicación con un servidor de comando y control (C2) para recuperar un módulo terciario desconocido que se hace pasar por un programa forense.

El descubrimiento de WyrmSpy y DragonEgg sirve como un recordatorio conmovedor de la creciente amenaza que representa el sofisticado malware de Android. Estos paquetes de software espía representan una amenaza formidable, capaz de recopilar sigilosamente una amplia gama de datos de dispositivos comprometidos. A medida que el panorama del malware avanzado para Android continúa evolucionando, se vuelve cada vez más crucial para los usuarios mantenerse alerta y tomar medidas proactivas para proteger sus dispositivos e información personal. Emplear soluciones de seguridad acreditadas, tener cuidado al instalar aplicaciones y mantenerse informado sobre las amenazas emergentes son pasos esenciales para mitigar el riesgo que representa un malware de vigilancia tan avanzado.