• 發布單位:TWCERT/CC
• 更新日期:2023-07-24
• 點閱次數:7806

資安廠商 Lookout 指出，進階持續性威脅團體 APT41 近期利用兩個間諜軟體 WyrmSpy 和 DragonEgg，鎖定 Android 手機使用者發動攻擊。

APT41 過去長期針對美國、亞洲和歐洲各國的各種目標發動攻擊，曾受 APT41 駭侵攻擊的單位包括軟體開發、硬體製造、政策智庫、電信通訊、大專院校與外國政府等等。

Lookout 是在 2017 年時首先發現 WyrmSpy，並在 2021 年初發現 DragonEgg；近期則是在 2023 年 4 月再次發現其攻擊活動。這兩個 Android 惡意軟體都具有強大的資料竊取能力。

據 Lookout 指出，WyrmSpy 的感染方式主要是以偽裝為 Android 系統維護軟體為主，而 DragonEgg 則會偽裝為第三方鍵盤軟體或即時通訊軟體，且透過各種手段來避免遭到防毒防駭軟體的偵測。

由於 WrymSpy 和 DragonEgg 使用相同的 Android 數位簽章，因此可以推測這兩個惡意軟體係為同一來源。Google 也指出，目前尚未在 Google Play Store 中發現任何 App 含有這兩個惡意軟體。

據 Lookout 發表的報告指出，APT41 除了會入侵政府單位竊取情報之外，也會針對私人企業發動駭侵攻擊，以取得財務上的不法收入。而過去 APT41 主要是利用各種 Web App 和曝露於外網裝置中的漏洞來發動攻擊，但近年來也開始利用如 WyrmSpy 和 DragonEgg 之類的惡意軟體來攻擊 Android 裝置。

建議 Android 使用者應避免安裝來路不明的 apk 檔案，apk 檔案為 Adnroid 惡意軟體的來源之一。