Китайские хакеры начали использовать два новых шпиона для Android

19.07.2023

Китайская хакерская группировка APT41 расширяет свой арсенал для атак. Как пишут The Hacker News, с деятельностью хакеров вероятно связаны шпионский программы WyrmSpy и DragonEgg.

Ранее группировка была преимущественно известна по атакам на веб-приложения и успешному взлому endpoint-устройств. Таким образом можно сказать, что с появлением WyrmSpy и DragonEgg хакеры расширили сферу своего влияния.

Шпион WyrmSpy успешно маскируется под приложение, которое по умолчанию используется для отображения уведомлений. Однако исследователи из Lookout также обнаружили версии, имитирующие приложение с видео-контентом для пользователей 18+, Baidu Waimai и Adobe Flash.

DragonEgg распространяется под видом стороннего приложения-клавиатуры для Android. Второй вариант существования шпиона — имитация мессенджеров, в частности Telegram.

Вывод о связи обоих шпионов с APT41 исследователи сделали на основе использования командного сервера с IP-адресом 121.42.149[.]52. Последний связан с доменом "vpn2.umisen[.]com«, который ранее ассоциировался с инфраструктурой группировки.