APT41, également identifié sous les noms de Double Dragon, Barium et Winnti, est un groupe de cyberespionnage actif depuis 2012. Il a été mis en cause par un grand jury fédéral à Washington en août 2019 et août 2020, à la suite d’une campagne d’intrusion massive qui a affecté de nombreuses entreprises, dont des développeurs de logiciels, des fabricants de matériel informatique, des fournisseurs de télécommunications, des médias sociaux, des éditeurs de jeux vidéo, des organisations à but non lucratif, des universités, des groupes de réflexion, des gouvernements étrangers, ainsi que des politiciens et des militants pro-démocratie à Hong Kong.
Jusqu’à présent, le groupe était connu pour son exploitation d’applications web et l’infiltration de terminaux traditionnels. L’inclusion récente d’appareils mobiles dans son arsenal malveillant indique que les terminaux mobiles, riches en données personnelles et d’entreprise, sont devenus des cibles de choix pour ces hackers.
Une menace sophistiquée et insidieuse
Selon Lookout, WyrmSpy et DragonEgg sont tous deux dotés de fonctionnalités avancées de collecte et d’exfiltration de données. Ils seraient diffusés aux victimes via des campagnes d’ingénierie sociale, et utilisent des modules pour dissimuler leurs intentions malveillantes et éviter la détection.WyrmSpy est capable de collecter une grande variété de données depuis les appareils infectés, y compris des fichiers journaux, des photos, des informations de localisation, des messages SMS et des enregistrements audio. Il se dissimule principalement en tant qu’application par défaut du système Android utilisée pour afficher des notifications à l’utilisateur. Des versions ultérieures du logiciel malveillant ont été intégrées dans des applications se faisant passer pour des contenus vidéo pour adultes, la plateforme de livraison de nourriture « Baidu Waimai » et Adobe Flash. Quant à DragonEgg, il a été identifié dans des applications se présentant comme des claviers Android tiers et des applications de messagerie comme Telegram.