WyrmSpyとDragonEggは、どちらもAndroid向けのマルウェアです。
そしてこの2つのマルウェアはどちらも同じ脅威アクターに関連したものであると考えられています。
どういったものなのでしょうか。
- 脅威アクター
これら2つのマルウェアには、APT41が関連していると考えられています。
2019年以降、APT41のハッカーが米国で起訴されたりしていますが、広い地域で公的機関や民間の組織などの種別に関わらず、活動を展開しています。
APT41 は、中華人民共和国を拠点とする国家支援のスパイ集団で、経済的利益が目的とみられています。 - 脅威アクターとマルウェアの関連性
どちらのマルウェアもC2への接続を行う機能を持っているのですが、この接続先であるC2のIPアドレスが、APT41に関連するものであることがわかりました。
このことからこれらのマルウェアはAPT41の活動であると考えられるようになりました。 - WyrmSpy
インストールされると、既知のルート化ツールを使用してデバイスへの昇格された権限を取得します。
そしてC2の指示で監視活動を実施します。
詳細はまだ解明されていませんが、追加機能を外部から取り込む機能を持っていると考えられます。
このマルウェアは、端末上から、ログファイル、写真、位置情報などを参照し、SMSの読み込みと書き込みの機能、録音の機能などを使用することができます。 - DragonEgg
実装方式は異なるようですが、こちらも追加機能のバイナリを取り込む機能を持つ監視活動を実施するマルウェアです。
別のアプリをトロイの木馬として動作することで実行中に目立たなくするように工夫されています。
このマルウェアは、アドレス帳情報、SMSメッセージ、位置情報、カメラの写真、録音機能などを使用することができます。
これらのマルウェアは、どちらも通常のGoogle Playでは見つけることができません。
ソーシャルエンジニアリングなどの手法で、ターゲットに直接届ける形式で攻撃が展開されていると考えられます。
ソーシャルエンジニアリングはAIの活用などもあり巧妙さが増していますのでこれまで以上に注意が必要です。
いろいろな事例を知り、日々落ち着いて行動することが重要と思えます。
参考記事(外部リンク):Lookout Attributes Advanced Android Surveillanceware to
Chinese Espionage Group APT41
www.lookout.com/threat-intelligence/article/wyrmspy-dragonegg-surveillanceware-apt41
| この記事をシェア |
|
|---|
