Le groupe de piratage APT41, soutenu par l’État chinois, cible les appareils Android avec deux souches de logiciels espions récemment découvertes, baptisées WyrmSpy et DragonEgg par les chercheurs en sécurité de Lookout.

APT41 est l’un des plus anciens groupes de piratage d’État avec une histoire de ciblage de diverses industries aux États-Unis, en Asie et en Europe.

Ils sont connus pour mener des opérations de cyberespionnage contre des entités dans divers secteurs industriels, notamment le développement de logiciels, la fabrication de matériel, les groupes de réflexion, les opérateurs télécoms, les universités et les gouvernements étrangers.

Le groupe a été suivi sous différents noms par plusieurs sociétés de cybersécurité. Kaspersky surveille leur activité depuis 2012 sous le nom de Winnti pour identifier les logiciels malveillants utilisés dans leurs attaques.

De même, Mandiant les suit également depuis 2014 et a remarqué que leurs activités se chevauchaient avec d’autres groupes de piratage chinois connus comme BARIUM.

Le ministère américain de la Justice a inculpé cinq ressortissants chinois liés à APT41 en septembre 2020 pour leur implication dans des cyberattaques contre plus de 100 entreprises.

« Contrairement à de nombreux groupes APT soutenus par des États-nations, APT41 a l’habitude de compromettre à la fois des organisations gouvernementales à des fins d’espionnage, ainsi que différentes entreprises privées à des fins financières », a déclaré Lookout dans un rapport publié cette semaine.

Le lien du logiciel espion Android
Alors que les pirates APT41 pénètrent généralement les réseaux de leurs cibles via des applications Web vulnérables et des terminaux exposés à Internet, Lookout indique que le groupe cible également les appareils Android avec les souches de logiciels espions WyrmSpy et DragonEgg.

Lookout a identifié WyrmSpy pour la première fois en 2017 et DragonEgg au début de 2021, l’exemple le plus récent remontant à avril 2023.

Les deux souches de logiciels malveillants Android sont dotées de capacités étendues de collecte et d’exfiltration de données activées sur les appareils Android compromis après le déploiement de charges utiles secondaires.

Alors que WyrmSpy se déguise en application de système d’exploitation par défaut, DragonEgg est camouflé en tant qu’applications de clavier ou de messagerie tierces, utilisant ces apparences pour échapper à la détection.

Les deux souches de logiciels malveillants partagent également des certificats de signature Android qui se chevauchent, renforçant leur connexion à un seul acteur de la menace.

Lookout a découvert leur lien vers APT41 après avoir trouvé un serveur de commande et de contrôle (C2) avec l’adresse IP 121.42.149[.]52 (résolvant le domaine vpn2.umisen[.]com et codé en dur dans le code source du logiciel malveillant). ).

Le serveur faisait partie de l’infrastructure d’attaque d’APT41 entre mai 2014 et août 2020, comme l’a révélé l’acte d’accusation de septembre 2020 du ministère américain de la Justice.

« Les chercheurs de Lookout n’ont pas encore rencontré d’échantillons dans la nature et évaluent avec une confiance modérée qu’ils sont distribués aux victimes par le biais de campagnes d’ingénierie sociale. Google a confirmé que sur la base de la détection actuelle, aucune application contenant ce malware n’a été trouvée sur Google Play », a déclaré Lookout. a dit.

Cependant, l’intérêt d’APT41 pour les appareils Android « montre que les terminaux mobiles sont des cibles de grande valeur avec des données convoitées ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *