Tin tặc APT41 nhắm mục tiêu người dùng Android với phần mềm gián điệp WyrmSpy, DragonEgg

APT41 là một trong những nhóm hack liên quan đến nhà nước lâu đời nhất với lịch sử nhắm mục tiêu vào các ngành khác nhau ở Hoa Kỳ, Châu Á và Châu Âu.

Nhóm này được biết đến thông qua việc tiến hành các hoạt động gián điệp mạng chống lại các thực thể trong các lĩnh vực khác nhau, bao gồm phát triển phần mềm, sản xuất phần cứng, tổ chức tư vấn, công ty viễn thông, trường đại học và chính phủ nước ngoài.

Nhóm này đã bị nhiều công ty an ninh mạng theo dõi với nhiều tên khác nhau. Kaspersky đã theo dõi hoạt động của chúng kể từ năm 2012 với tên Winnti để xác định phần mềm độc hại được sử dụng trong các cuộc tấn công của chúng.

Tương tự, Mandiant cũng đã theo dõi chúng từ năm 2014 và nhận thấy các hoạt động của chúng trùng khớp với các nhóm hack nổi tiếng khác của Trung Quốc như BARIUM.

Bộ Tư pháp Hoa Kỳ đã buộc tội 5 công dân Trung Quốc có liên quan đến APT41 vào tháng 9 năm 2020 vì đã tham gia vào các cuộc tấn công mạng vào hơn 100 công ty.

Lookout cho biết trong một báo cáo được công bố trong tuần trước: “Không giống như nhiều nhóm APT được nhà nước hậu thuẫn, APT41 có thành tích tấn công cả các tổ chức chính phủ để thực hiện hoạt động gián điệp cũng như các doanh nghiệp tư nhân khác nhau để thu lợi tài chính.

Liên kết phần mềm gián điệp Android

Mặc dù tin tặc APT41 thường xâm nhập mạng các mục tiêu thông qua các ứng dụng web dễ bị tấn công và các điểm cuối tiếp xúc với Internet, Lookout cho biết nhóm này cũng nhắm mục tiêu các thiết bị Android có chủng phần mềm gián điệp WyrmSpy và DragonEgg.

Lookout lần đầu tiên xác định WyrmSpy vào năm 2017 và DragonEgg vào đầu năm 2021, và ví dụ gần đây nhất từ tháng 4 năm 2023.

Cả hai chủng phần mềm độc hại Android đều có khả năng thu thập và trích xuất dữ liệu mở rộng được kích hoạt trên các thiết bị Android bị xâm nhập sau khi triển khai các mã độc (payload) thứ cấp.

Trong khi WyrmSpy ngụy trang thành một ứng dụng hệ điều hành mặc định, DragonEgg được ngụy trang thành ứng dụng nhắn tin hoặc bàn phím của bên thứ ba, sử dụng những shell này để tránh bị phát hiện.

Hai chủng phần mềm độc hại cũng chia sẻ các chứng chỉ ký Android chồng chéo, điều này làm tăng khả năng kết nối với một tác nhân đe dọa duy nhất.

Lookout đã phát hiện ra mối liên kết của chúng với APT41 sau khi tìm thấy máy chủ chỉ huy và kiểm soát (C2) có địa chỉ IP 121.42.149[.]52 (resolving thành miền vpn2.umisen[.]com và được mã hóa cứng vào mã nguồn của phần mềm độc hại).

Máy chủ là một phần của cơ sở hạ tầng tấn công của APT41 từ tháng 5 năm 2014 đến tháng 8 năm 2020, như được tiết lộ trong bản cáo trạng tháng 9 năm 2020 của Bộ Tư pháp Hoa Kỳ.

"Các nhà nghiên cứu của Lookout chưa tìm thấy các mẫu trong thực tế và thông qua việc đánh giá đáng tin cậy thì chúng được lan truyền đến các nạn nhân thông qua các chiến dịch lừa đảo xã hội. Google xác nhận rằng dựa trên phát hiện hiện tại, không có ứng dụng nào chứa phần mềm độc hại này được tìm thấy trên Google Play," Lookout cho biết.

Tuy nhiên, sự quan tâm của APT41 đối với các thiết bị Android "cho thấy rằng các thiết bị đầu cuối di động là những mục tiêu có giá trị cao với dữ liệu mà chúng rất thèm muốn."

Nguồn: bleepingcomputer.com