Malware móvil WyrmSpy

El prolífico actor de estado-nación respaldado por China, APT41, se ha relacionado recientemente con el descubrimiento de dos cepas de software espía de Android previamente no documentadas conocidas como WyrmSpy y DragonEgg . APT41 es reconocido por su experiencia en la explotación de aplicaciones orientadas a la web y la infiltración de dispositivos terminales tradicionales.

Al expandir su arsenal de malware para incluir dispositivos móviles, APT 41 demuestra claramente la importancia de los terminales móviles como objetivos de alto valor que albergan datos personales y corporativos codiciados. Esto destaca la creciente importancia de proteger los dispositivos móviles contra amenazas sofisticadas planteadas por actores de amenazas establecidos como APT 41.

WyrmSpy puede haber sido utilizado por ciberdelincuentes durante años

El equipo de ciberdelincuencia APT41, también reconocido por varios nombres como Axiom, Blackfly, Brass Typhoon (anteriormente Bario), Bronze Atlas, HOODOO, Wicked Panda y Winnti, ha estado operando desde al menos 2007, mostrando una presencia persistente en el panorama cibernético. Este sofisticado actor de amenazas ha estado apuntando a varias industrias con el objetivo de conducir propiedad intelectual e información confidencial.

En los últimos tiempos, APT41 ha sido responsable de lanzar ataques empleando una herramienta de red teaming de código abierto llamada Google Command and Control (GC2). Estos ataques se dirigieron específicamente a los medios y las plataformas de trabajo en Taiwán e Italia, lo que demuestra las tácticas y los objetivos en constante evolución del colectivo.

En cuanto a su campaña de software de vigilancia móvil, el método exacto de intrusión inicial sigue sin revelarse, pero hay sospechas del uso de técnicas de ingeniería social. WyrmSpy se detectó por primera vez en 2017, lo que indica las actividades continuas y prolongadas del grupo en el ámbito móvil. Posteriormente, DragonEgg se identificó a principios de 2021 y se observaron nuevas muestras de este malware en abril de 2023, lo que enfatiza la amenaza continua que representa APT41.

Las capacidades amenazantes encontradas en el malware de Android WyrmSpy

WyrmSpy emplea tácticas engañosas al disfrazarse como una aplicación de sistema predeterminada responsable de mostrar las notificaciones de los usuarios. En variaciones posteriores, el malware se incrustó en aplicaciones que se hacen pasar por contenido de video para adultos, Baidu Waimai y Adobe Flash. En particular, no hay evidencia que sugiera que estas aplicaciones maliciosas se distribuyeron alguna vez a través de la tienda oficial de Google Play. Se desconoce el número exacto de víctimas a las que apunta WyrmSpy.

La conexión entre WyrmSpy y APT41 se hace evidente a través de la utilización de un servidor de comando y control (C2) con la dirección IP 121[.]42[.]149[.]52. Esta dirección IP corresponde al dominio 'vpn2.umisen[.]com' que ha sido previamente asociado a la infraestructura del grupo APT41.

Una vez instalado correctamente, WyrmSpy solicita permisos intrusivos, lo que permite que la amenaza ejecute actividades sofisticadas de recopilación y exfiltración de datos en el dispositivo Android comprometido. El malware es capaz de recopilar información confidencial del usuario, incluidas fotos, datos de ubicación, mensajes SMS y grabaciones de audio.

WyrmSpy también ha demostrado su adaptabilidad al utilizar módulos que se descargan de un servidor C2. Este enfoque permite que el malware mejore sus capacidades de recopilación de datos mientras evade la detección.

Además, WyrmSpy muestra funcionalidades avanzadas, ya que puede deshabilitar Linux con seguridad mejorada (SELinux), una función de seguridad dentro del sistema operativo Android. Además, explota herramientas de enraizamiento como KingRoot11 para obtener privilegios elevados en dispositivos móviles comprometidos.