APT41, également connu sous les noms de Double Dragon, BARIUM et Winnti, est un groupe d’espionnage parrainé par un État qui est actif depuis 2012. En août 2019 et août 2020, cinq de ses pirates ont été inculpés par un grand jury fédéral à Washington pour une campagne d’intrusion informatique qui a touché des dizaines d’entreprises, notamment des sociétés de développement de logiciels, des fabricants de matériel informatique, des fournisseurs de télécommunications, des sociétés de médias sociaux, des sociétés de jeux vidéo, des organisations à but non lucratif, des universités, des groupes de réflexion, des gouvernements étrangers ainsi que des politiciens et des militants pro-démocratie à Hong Kong.

Connu pour son exploitation des applications Web et son infiltration des terminaux traditionnels, un acteur bien établi comme APT 41 qui inclut les mobiles dans son arsenal de logiciels malveillants montre que les terminaux mobiles sont des cibles de grande valeur contenant des données d’entreprise et des données personnelles très convoitées.

Points forts de la découverte des menaces :

• WyrmSpy et DragonEgg ont tous deux des fonctionnalités sophistiquées de collecte et d’exfiltration de données, et les chercheurs de Lookout pensent qu’ils sont distribués aux victimes par le biais de campagnes d’ingénierie sociale.
• Tous deux utilisent des modules pour dissimuler leurs intentions malveillantes et éviter d’être détectés.
• WyrmSpy, qui est capable de collecter un large éventail de données à partir des appareils infectés, notamment des fichiers journaux, des photos, la localisation de l’appareil, des messages SMS et des enregistrements audio, se fait principalement passer pour une application par défaut du système Android utilisée pour afficher des notifications à l’utilisateur. Des variantes ultérieures intègrent également le logiciel malveillant dans des applications se faisant passer pour des contenus vidéo pour adultes, la plateforme de livraison de nourriture « Baidu Waimai » et Adobe Flash.
• DragonEgg a été observé dans des applications se présentant comme des claviers Android tiers et des applications de messagerie telles que Telegram.

Pour protéger vos appareils Android professionnels et personnels contre WyrmSpy et DragonEgg, Lookout vous recommande de :

• Maintenir le logiciel de votre appareil à jour.
• N’installer que des apps provenant de sources fiables et de ne les télécharger qu’à partir du Google Play Store.
• Faire attention aux autorisations que vous accordez aux apps.
• Utiliser une solution de sécurité mobile telle que Lookout.

« La découverte de WyrmSpy et DragonEgg rappelle la menace croissante que représentent les logiciels malveillants Android avancés », déclare Kristina Balaam, Senior Threat Researcher, chez Lookout. « Ces logiciels espions sont très sophistiqués et peuvent être utilisés pour collecter un large éventail de données sur les appareils infectés. Nous recommandons vivement aux utilisateurs d’Android d’être conscients de la menace et de prendre des mesures pour protéger leurs appareils, leur travail et leurs données personnelles ».

Les chercheurs du Lookout Threat Lab traquent activement les deux logiciels espions et fournissent une couverture aux clients de Lookout Mobile Endpoint Security depuis 2020. Le Lookout Security Graph exploite l’intelligence machine de plus de 215 millions d’appareils, 190 millions d’applications et ingère 4,5 millions d’URL quotidiennement. Lookout sécurise ses clients contre le phishing, les menaces liées aux applications, aux appareils et aux réseaux, tout en respectant la vie privée des utilisateurs.