DragonEgg и LightSpy: дуэт шпионских ПО атакует сразу две операционные системы

DragonEgg LightSpy iOS Android шпионское ПО ThreatFabric WyrmSpy APT41 кибербезопасность Telegram
DragonEgg и LightSpy: дуэт шпионских ПО атакует сразу две операционные системы
DragonEgg LightSpy iOS Android шпионское ПО ThreatFabric WyrmSpy APT41 кибербезопасность Telegram

Связаны ли два софта между собой и как пользователям iOS и Android не угодить в Telegram-ловушку?

image

Исследователи выявили связь между DragonEgg, шпионским ПО для Android, и LightSpy модульным инструментом для слежки в системе iOS.

Первые данные о DragonEgg, которое связывают с китайской группой APT41, представила компания Lookout в июле 2023 года. Примерно в это же время был обнаружен WyrmSpy — еще один шпионский софт, также известный как AndroidControl.

О LightSpy кибербезопасное сообщество узнало еще в марте 2020 года в рамках кампании «Operation Poisoned News». Тогда жертвами атак стали пользователи iPhone в Гонконге.

Тактику хакеров описали исследователи мобильной безопасности из голландской фирмы ThreatFabric. Сначала пользователь должен установить на свое устройство троянизированную версию Telegram. Она предназначена для загрузки вторичного вредоносного кода (smallmload.jar), который в свою очередь активирует еще один компонент под названием Core.

Анализ показал, что LightSpy регулярно обновлялось начиная с 11 декабря 2018 года, причем последнее обновление было отмечено 13 июля 2023 года.

Основной модуль LightSpy (вероятно, DragonEgg) отвечает за координацию процессов. В его задачи входят: сбор информации об устройстве, установка связи с удаленным сервером, ожидание дальнейших директив и самообновление. Программа обрабатывает команды через WebSocket и передает данные через HTTPS.

Было обнаружены еще несколько модулей. Например, инструменты для отслеживания геолокации устройства, записи окружающих звуков и разговоров в WeChat, а также функция, которая собирает историю платежей через WeChat Pay.

Серверы управления и контроля LightSpy находятся в разных регионах: Китае, Гонконге, Тайване и Сингапуре. При этом, интересно, что LightSpy и WyrmSpy используют одну и ту же инфраструктуру.

На одном из серверов нашли 13 уникальных номеров, принадлежащих китайским мобильным операторам. Исследователи сделали вывод, что это либо тестовые номера разработчиков LightSpy, либо телефоны их жертв.

Сходство между DragonEgg и LightSpy – в их конфигурациях, структуре выполнения и способах связи с серверами. Как именно они связаны между собой – пока неясно.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Новости по теме

Заработок мечты или обман? Детали скам-схемы с TON в Telegram

Новый троян Brokewell превращает Android-смартфон в инструмент слежки

Южная Корея отказывается от iPhone: армия страны запрещает смартфоны

Мошенники под видом службы поддержки Telegram воруют аккаунты в мессенджере

Intel обвиняет производителей материнских плат в нестабильности процессоров

Арестован москвич за торговлю вредоносным ПО через Telegram

Миллионы ПК под контролем PlugX: осиротевший зомби-червь все еще охотится за чужими секретами

Индийскому банку запретили открывать новые счета из-за слабой кибербезопасности

СКИПА PentOps: непрерывный контроль и оперативное реагирование на киберугрозы