Les pirates chinois de l’APT41 ciblent les appareils mobiles avec les nouveaux logiciels espions WyrmSpy et DragonEgg
- par Kenan
- , le 20 juillet 2023
- 12 h 28 min
L’acteur national prolifique lié à la Chine, connu sous le nom d’APT41, a été associé à deux souches non documentées de logiciels espions pour Android, appelées WyrmSpy et DragonEgg.
« Connu pour son exploitation des applications Web et son infiltration des terminaux traditionnels, un acteur bien établi comme APT 41 qui inclut le mobile dans son arsenal de logiciels malveillants montre que les terminaux mobiles sont des cibles de grande valeur avec des données d’entreprise et personnelles convoitées », a déclaré Lookout dans un rapport partagé avec The Hacker News.
APT41, également repéré sous les noms d’Axiom, Blackfly, Brass Typhoon (anciennement Barium), Bronze Atlas, HOODOO, Wicked Panda et Winnti, est connu pour être opérationnel depuis au moins 2007, ciblant un large éventail d’industries pour y commettre des vols de propriété intellectuelle.
Les attaques récentes montées par ce collectif d’adversaires se sont appuyées sur un outil d’équipe rouge open-source connu sous le nom de Google Command and Control (GC2) dans le cadre d’attaques visant des médias et des plates-formes d’emploi à Taïwan et en Italie.
Le vecteur d’intrusion initial de la campagne de surveillance mobile n’est pas connu, bien que l’on soupçonne qu’il ait impliqué l’utilisation de l’ingénierie sociale. Lookout a déclaré avoir détecté WyrmSpy dès 2017 et DragonEgg au début de l’année 2021, de nouveaux échantillons de ce dernier ayant été repérés en avril 2023.
WyrmSpy se fait d’abord passer pour une application système par défaut utilisée pour afficher des notifications à l’utilisateur. Toutefois, des variantes ultérieures ont intégré le logiciel malveillant dans des applications se faisant passer pour des contenus vidéo pour adultes, Baidu Waimai et Adobe Flash. Par ailleurs, DragonEgg a été distribué sous la forme de claviers Android tiers et d’applications de messagerie telles que Telegram.
Rien ne prouve que ces applications malveillantes aient été propagées via le Google Play Store. Il n’a pas été possible de déterminer exactement qui ou combien de victimes ont été ciblées par WyrmSpy et DragonEgg.
Les liens entre WyrmSpy et DragonEgg et APT41 résultent de l’utilisation d’un serveur de commande (C2) dont l’adresse IP est 121.42.149[.]52 et qui se résout en un domaine (« vpn2.umisen[.]com ») précédemment identifié comme étant associé à l’infrastructure du groupe. Une fois installées sur l’appareil de la victime, les deux souches demandent des autorisations intrusives telles que l’accès aux photos, aux emplacements, aux messages SMS, aux enregistrements audio, etc. En outre, les deux variantes de logiciels malveillants sont capables de télécharger des modules à partir de serveurs C2, ce qui leur permet d’éviter la détection tout en poursuivant leurs activités de collecte de données.
Les États-Unis disposent d' »informations crédibles » selon lesquelles le gouvernement chinois cible les entreprises américaines par le biais du cyberespionnage afin d’obtenir un avantage économique, a déclaré mardi le directeur du FBI, Christopher Wray.
« Les États-Unis disposent d' »informations crédibles » selon lesquelles le gouvernement chinois cible des entreprises américaines par le biais du cyberespionnage afin d’obtenir un avantage économique, a déclaré mardi le directeur du FBI, Christopher Wray.
Nous avons suivi l’utilisation par les acteurs du cyberespionnage chinois de ces tactiques et d’autres dans le cadre d’une évolution plus large vers des opérations plus ciblées, plus furtives et plus efficaces.
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.