WyrmSpy и DragonEgg - два продвинутых ПО для наблюдения за Android, которые компания Lookout приписывает известной китайской группировке APT41, также известной под именами Double Dragon, BARIUM и Winnti.
Исследователи Lookout Threat Lab активно отслеживали оба шпионских ПО и предоставляли информацию клиентам Lookout Mobile Endpoint Security.
Обе программы наблюдения обладают сложными возможностями сбора и утечки данных и скрывают эти функции в дополнительных модулях, загружаемых после их установки. WyrmSpy в основном маскируется под стандартные приложения операционной системы, а DragonEgg - под сторонние приложения для работы с клавиатурой или обмена сообщениями.
- Lookout приписывает WyrmSpy и DragonEgg печально известной китайской шпионской группе APT41, которая не сбавляет оборотов после недавних обвинений со стороны американского правительства.
- APT41 известна тем, что атакует широкий спектр организаций государственного и частного секторов, включая правительства государств, компании-разработчики программного обеспечения, производителей компьютерного оборудования, телекоммуникационных провайдеров, компании, работающие в социальных сетях, и компании, занимающиеся разработкой видеоигр.
- То, что такие известные угрозы, как APT41, обратили свое внимание на мобильные устройства, говорит о том, что мобильные конечные точки являются ценными объектами, на которых хранятся желанные данные.
- WyrmSpy и DragonEgg используют модули, позволяющие скрыть свои вредоносные намерения и избежать обнаружения.
- Впервые о WyrmSpy и DragonEgg было сообщено подписчикам Lookout Threat Intelligence Services в октябре 2020 г. и январе 2021 г.
Indicators of Compromise
IPv4
- 103.43.17.99
- 116.205.4.18
- 118.193.39.165
- 121.201.109.98
- 121.42.149.52
Domains
- alxc.tbtianyan.com
- dns.win10micros0ft.com
- huaxin-bantian.duckdns.org
- smiss.imwork.net
- update.umisen.com
- www.andropwn.xyz
- yxwasec.com
SHA1
- 085191fb59d3933f8447610126600754b35697d4
- 0b4a9a3f167178054ef9f9a97463cbe31f078c2f
- 17e6bbed5e43ec5b8d2821e0145da7ee32a58ea6
- 209567f4f28c5c8abcbe56d789e558aa64239534
- 215847e4c41144365b94cb924d969dbc5e69052b
- 232b868e36f064b4151e4386835642fc8bf07e0b
- 2438069c43771f0011da2f22b57b8336aaa7562c
- 2fbd56b1f3859c6d03dec47f8fcee7e37dc303a1
- 331acbdd270acecfa80bc7b4e37629611593de0a
- 4405af38c4a6b6130fcf242a11b0ce7963a1be28
- 517ec909bc9e308b44d59dfd144188d1e23f57bc
- 53c745956c3501d1daf232aeea5edfb52168c6b4
- 5891fa6a3a8232192ebd57a171bad29f53c7598c
- 589d88093dad377d46f34415a7f9df11d65b81ed
- 58cda5e4607557d79bc5e36764b577f17e77af49
- 5c16637848d6f1eb4aa6c5b2a4928a1144cd2113
- 5c2fc57609ee28753b78a0f33ba7519fc9fbb6f8
- 6dd20f7b9ccbd961d155fff78452303a54714841
- 81762cfae0bd5585e8c0c86e4fdbbe47d2dd614a
- 85ca8cd21d70668bd2aab9c53163f5e03a0e1a8b
- 92ddbe438c8c8c1ef82fa5bb02e526db10829736
- 971f4cd569ad9f84e654b62bffdba3a4aa21d4e9
- 9b6297825a6c00b3af16748684d4de551cc7be75
- a9d2f59b8457c6998b654054084b102adfcf3306
- ab560af6bafff8f58ea5bc53c0391501415aed14
- b456a61a3e0ac6073a716b06293a3295a261de56
- cab70e99516a36ab0f0d3851375adf0740f4bd5e
- cc351ffbe748b1db43de6dcd40934fe23986e753
- d02f548d354adff645318de6edc45dff23170241
- d634a548973c7931e224a41201be0a273d561cff
- d713b8b0f3764157cc18d5dc1cb0f9c558067728
- dfff9ae245cc0beed8fdf409c00ec758d7d2678f
- e514042565ffb2811f780227fee5ed5683925d49
- fbda76a2c2834f89d642a72c24b1988a1f56e4b8