Lookoutは7月19日(米国時間)、「WyrmSpy and DragonEgg: Lookout Attributes Android Spyware to China’s APT41|Threat Intelligence」において、中国のスパイ組織APT41による高度なAndroidスパイウェアについて報告した

  • WyrmSpy and DragonEgg: Lookout Attributes Android Spyware to China’s APT41|Threat Intelligence

    WyrmSpy and DragonEgg: Lookout Attributes Android Spyware to China’s APT41|Threat Intelligence

今回報じられた高度なAndroidスパイウェアは「WyrmSpy」と「DragonEgg」と呼ばれるもので、それぞれ異なる標的を狙っているという。Lookout Security GraphはWyrmSpyの最初のサンプルを2017年に、DragonEggは2021年に検出しており、最新の例では2023年4月に検出している。

WyrmSpyは当初システムのユーザー通知アプリに偽装していたが、その後アダルトビデオコンテンツ、食品配送サービスBaidu Waimai、Adobe Flashを装ったアプリにパッケージされて配布されている。対するDragonEggは、サードパーティのAndroidキーボードやTelegramなどのメッセージングアプリを装って配布されている。

ただし、これらAndroidスパイウェアはGoogle Playストア上のアプリからは検出されていないとしており、ソーシャルエンジニアリングによって配布されたと推測されている。

これらAndroidスパイウェアはインストールされるとシステムへの過剰なアクセス許可を要求し、写真、SMSメッセージ、デバイスの場所、録音データなどを収集して流出させる。この際、外部からモジュールをダウンロードするなどの手法で、マルウェアの検出を困難にする高度な機能を備えている。

LookoutはAPI41のような確立された脅威アクターがモバイルデバイスを攻撃対象とすることは、モバイルデバイスに高い価値のある収集したいデータがあることを示しているとして、注意を喚起している。