APT41 запустила новые образцы Android-шпионов WyrmSpy и DragonEgg
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

APT41 запустила новые образцы Android-шпионов WyrmSpy и DragonEgg

Екатерина Быстрова 20 Июля 2023 - 16:53
...
APT41 запустила новые образцы Android-шпионов WyrmSpy и DragonEgg

Исследователи зафиксировали два образца шпионского софта WyrmSpy и DragonEgg для Android, ранее нигде не упоминавшихся. Эти вредоносы связывают с китайской киберпреступной группировкой, которую отлёживают под кодовым именем APT41.

О новых семплах рассказали специалисты компании Lookout. В отчёте они описывают APT41 следующим образом:

«Стоящая за распространением шпионского софта группировка известна в первую очередь эксплуатацией “торчащих“ в Сеть веб-приложений. Использование вредоносных программ для мобильных устройств показывает, насколько смартфоны сегодня становятся привлекательной целью для киберпреступников».

APT41 также известна исследователям под именами Axiom, Blackfly, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda и Winnti. Эта группа проводит операции с 2017 года и атакует многие отрасли с целью выкрасть интеллектуальную собственность.

Эксперты пока не выяснили точный вектор проникновения на конечные точки, однако есть предположение, что всё начинается с социальной инженерии. Lookout впервые отметила WyrmSpy в 2017 году, а DragonEgg — в начале 2021-го.

WyrmSpy, как правило, маскируется под «родное» системное приложение, необходимое для доставки уведомлений пользователю. В более поздних версиях встречаются попытки замаскироваться под контент для взрослых.

Что касается DragonEgg, эта версия шпиона распространяется либо в виде сторонних клавиатур для Android, либо в виде мессенджеров вроде Telegram. Присутствия этих двух вредоносов в Google Play Store замечено не было, поэтому пока не совсем понятно, как они именно попадают на смартфоны жертв.

Оба шпиона используют один командный сервер, находящийся по адресу 121.42.149[.]52 (резолвится в домен vpn2.umisen[.]com). После установки зловреды запрашивают подозрительные разрешения в системе и тащат буквально все важные данные, до которых могут дотянуться.

WyrmSpy даже может отключать одну из защитных функций Android — Security-Enhanced Linux (SELinux). Этот же шпион использует инструменты рутинга вроде KingRoot11 для повышения прав в ОС.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Apple удалила из AppStore приложение для отслеживания агентов ICE
Яков Шпунт 03 Октября 2025 - 12:56
iOS КорпорацииГосударство Apple
Apple удалила из AppStore приложение для отслеживания агентов ICE

Apple удалила из App Store приложение ICEBlock, предназначенное для оповещений о рейдах Службы иммиграционного и таможенного контроля США (ICE — Immigration and Customs Enforcement). Решение было принято под давлением Министерства юстиции США и генерального прокурора Пэм Бонди.

Формальным поводом стал инцидент, произошедший 24 сентября в Далласе, в результате которого погибли два человека и ещё один был ранен.

По данным ФБР, нападавший «охотился» на сотрудников ICE, однако все погибшие и пострадавшие оказались задержанными нелегальными мигрантами.

Глава ICE Тодд Лайонс заявил CNBC, что после появления ICEBlock число нападений на сотрудников службы выросло в шесть раз. По его словам, приложение стало «общенациональным мегафоном призывов к насилию».

Приложение вызывало критику со стороны администрации президента Дональда Трампа ещё до событий в Далласе. Глава Министерства внутренней безопасности Кристи Ноэм назвала ICEBlock препятствием для работы правоохранительных органов.

Тем не менее эти заявления лишь подогрели интерес к приложению. По данным аналитической компании Appfigures, на которые ссылается CNBC, ICEBlock было скачано более миллиона раз. При этом 1 июля, сразу после критики со стороны администрации, количество установок превысило 100 тысяч за один день.

«Мы обратились к Apple с требованием удалить приложение ICEBlock из магазинов, и Apple пошла нам навстречу. ICEBlock был создан, чтобы преследовать агентов ICE лишь за то, что они выполняют свою работу. А насилие в отношении сотрудников правоохранительных органов — это недопустимая красная черта», — заявила Пэм Бонди в комментарии FoxNews.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники через детей украли у россиян более 600 млн рублей
Новость
Мошенники через детей украли у россиян более 600 млн рублей
MaxPatrol EDR 8.1 получил новый интерфейс и расширенную интеграцию
Новость
MaxPatrol EDR 8.1 получил новый интерфейс и расширенную инте...
Новая схема: магнитный ключ для шлагбаума ведёт к краже из онлайн-банка
Новость
Новая схема: магнитный ключ для шлагбаума ведёт к краже из о...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.