APT41 запустила новые образцы Android-шпионов WyrmSpy и DragonEgg

Екатерина Быстрова 20 Июля 2023 - 16:53

Домашние пользователи

...

Исследователи зафиксировали два образца шпионского софта WyrmSpy и DragonEgg для Android, ранее нигде не упоминавшихся. Эти вредоносы связывают с китайской киберпреступной группировкой, которую отлёживают под кодовым именем APT41.

О новых семплах рассказали специалисты компании Lookout. В отчёте они описывают APT41 следующим образом:

«Стоящая за распространением шпионского софта группировка известна в первую очередь эксплуатацией “торчащих“ в Сеть веб-приложений. Использование вредоносных программ для мобильных устройств показывает, насколько смартфоны сегодня становятся привлекательной целью для киберпреступников».

APT41 также известна исследователям под именами Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda и Winnti. Эта группа проводит операции с 2017 года и атакует многие отрасли с целью выкрасть интеллектуальную собственность.

Эксперты пока не выяснили точный вектор проникновения на конечные точки, однако есть предположение, что всё начинается с социальной инженерии. Lookout впервые отметила WyrmSpy в 2017 году, а DragonEgg — в начале 2021-го.

WyrmSpy, как правило, маскируется под «родное» системное приложение, необходимое для доставки уведомлений пользователю. В более поздних версиях встречаются попытки замаскироваться под контент для взрослых.

Что касается DragonEgg, эта версия шпиона распространяется либо в виде сторонних клавиатур для Android, либо в виде мессенджеров вроде Telegram. Присутствия этих двух вредоносов в Google Play Store замечено не было, поэтому пока не совсем понятно, как они именно попадают на смартфоны жертв.

Оба шпиона используют один командный сервер, находящийся по адресу 121.42.149[.]52 (резолвится в домен vpn2.umisen[.]com). После установки зловреды запрашивают подозрительные разрешения в системе и тащат буквально все важные данные, до которых могут дотянуться.

WyrmSpy даже может отключать одну из защитных функций Android — Security-Enhanced Linux (SELinux). Этот же шпион использует инструменты рутинга вроде KingRoot11 для повышения прав в ОС.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Августа 2025 - 14:10

Континент Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Код Безопасности

ФСТЭК России сертифицировала NGFW «Континент 4» по 4 классу защиты

«Континент 4» получил сертификат ФСТЭК России как многофункциональный межсетевой экран. Теперь он соответствует требованиям 4 класса защиты, установленным в 2023 году для NGFW (Next Generation Firewall) — то есть продвинутых файрволов, которые не только фильтруют трафик, но и выполняют другие задачи по безопасности.

Среди дополнительных функций, которые теперь обязательны по новым требованиям:

антивирусная проверка трафика,
обнаружение и предотвращение вторжений (IDS/IPS),
идентификация пользователей,
веб-фильтрация и другие модули.

О начале продаж версии, прошедшей сертификацию именно как многофункциональный экран, сообщат отдельно.

Актуальный сертификат соответствия № 4496 от 14 декабря 2021 года был переоформлен 30 июля 2025 года. В нём зафиксировано, что продукт соответствует сразу нескольким позициям:

многофункциональный межсетевой экран уровня сети (4 класс защиты),
экраны типа А, Б и Д (4 класс),
система обнаружения вторжений (4 класс),
и получил 4 уровень доверия.

С таким сертификатом продукт можно использовать для защиты значимых объектов критической инфраструктуры (вплоть до 1-й категории), ИСПДн (до 1 уровня включительно), ГИС (до 1 класса) и автоматизированных систем (до 1Г класса включительно).

APT41 запустила новые образцы Android-шпионов WyrmSpy и DragonEgg

Читайте также