發布單位:TWCERT/CC
更新日期:2023-07-24
點閱次數:371
資安廠商 Lookout 指出,進階持續性威脅團體 APT41 近期利用兩個間諜軟體 WyrmSpy 和 DragonEgg,鎖定 Android 手機使用者發動攻擊。
APT41 過去長期針對美國、亞洲和歐洲各國的各種目標發動攻擊,曾受 APT41 駭侵攻擊的單位包括軟體開發、硬體製造、政策智庫、電信通訊、大專院校與外國政府等等。
Lookout 是在 2017 年時首先發現 WyrmSpy,並在 2021 年初發現 DragonEgg;近期則是在 2023 年 4 月再次發現其攻擊活動。這兩個 Android 惡意軟體都具有強大的資料竊取能力。
據 Lookout 指出,WyrmSpy 的感染方式主要是以偽裝為 Android 系統維護軟體為主,而 DragonEgg 則會偽裝為第三方鍵盤軟體或即時通訊軟體,且透過各種手段來避免遭到防毒防駭軟體的偵測。
由於 WrymSpy 和 DragonEgg 使用相同的 Android 數位簽章,因此可以推測這兩個惡意軟體係為同一來源。Google 也指出,目前尚未在 Google Play Store 中發現任何 App 含有這兩個惡意軟體。
據 Lookout 發表的報告指出,APT41 除了會入侵政府單位竊取情報之外,也會針對私人企業發動駭侵攻擊,以取得財務上的不法收入。而過去 APT41 主要是利用各種 Web App 和曝露於外網裝置中的漏洞來發動攻擊,但近年來也開始利用如 WyrmSpy 和 DragonEgg 之類的惡意軟體來攻擊 Android 裝置。
建議 Android 使用者應避免安裝來路不明的 apk 檔案,apk 檔案為 Adnroid 惡意軟體的來源之一。
相關連結
Lookout Attributes Advanced Android Surveillanceware to Chinese Espionage Group APT41
APT41 hackers target Android users with WyrmSpy, DragonEgg spyware