WyrmSpy – DragonEgg
A WyrmSpy és a DragonEgg két fejlett Android-felügyeleti szoftver, amelyet a Lookout a kínai APT41 (Double Dragon, BARIUM, Winnti) csoportnak tulajdonít. Míg az APT41 leginkább a webes alkalmazások kihasználásáról és a hagyományos végponti eszközök beszivárgásáról ismert, ezek a rosszindulatú programok ritkán jelentek meg. A Lookout Threat Lab kutatói aktívan nyomon követték a spyware-eket.
Mindkét felügyeleti szoftver kifinomult adatgyűjtési és adatlopó képességekkel rendelkezik, és elrejti ezeket a funkciókat a telepítés után letöltött további modulokban. A WyrmSpy elsősorban alapértelmezett operációs rendszer-alkalmazásnak álcázza magát, míg a DragonEgg harmadik féltől származó billentyűzet- vagy üzenetküldő alkalmazásnak adja ki magát.
A DragonEgg és a WyrmSpy az átfedő Android-aláíró tanúsítványok használatával kapcsolódik egymáshoz. A WyrmSpy egyes verziói egyedi aláírási tanúsítványokat vezettek be, amelyeket később a DragonEgg fejlesztői is megfigyeltek.
A WyrmSpy-n keresztül tudta a Lookout a két kártevőt az APT41-nek tulajdonítani, mivel a rosszindulatú program forráskódjába keményen kódolt parancs- és vezérlési (C2) infrastruktúra és a Chengdu 404 közötti kapcsolat kapcsolódott össze. A korai minták „121.42” IP-címet használnak. 149[.]52” a C2 infrastruktúra részeként, amely egy aldomain, a „vpn2.umisen[.]com” aldomain feloldó IP-címe volt.