Recentes descobertas destacaram as semelhanças entre o spyware Android conhecido como DragonEgg e a sofisticada ferramenta de vigilância modular para iOS chamada LightSpy.
DragonEgg, junto com WyrmSpy (também chamado de AndroidControl), foi inicialmente divulgado pela Lookout em julho de 2023 como uma variedade de malware capaz de coletar dados confidenciais de dispositivos Android. O grupo hacker chinês APT41 foi atribuído como responsável por esse malware.
Por outro lado, informações sobre o LightSpy surgiram em março de 2020 como parte de uma campanha chamada "Operação Poisoned News", na qual os usuários de iPhones da Apple em Hong Kong foram alvos de ataques "watering hole" para instalação do spyware.
Agora, de acordo com a empresa de segurança móvel holandesa ThreatFabric, os ataque envolvem o uso de um aplicativo Telegram adulterado projetado para baixar um payload chamado smallmload.jar, que, por sua vez, é configurado para baixar um terceiro componente codinome "Core".
Uma análise mais detalhada revelou que os ataques tem sido ativamente mantido desde 11 de dezembro de 2018, com a versão mais recente lançada em 13 de julho de 2023.
O módulo principal do LightSpy (também conhecido como DragonEgg) funciona como um plugin orquestrador responsável por coletar a impressão digital do dispositivo, estabelecer contato com um servidor remoto, aguardar novas instruções e atualizar a si mesmo e aos plugins.
A ThreatFabric observou que o "LightSpy Core" é extremamente flexível em termos de configuração, permitindo que os operadores controlem com precisão o spyware usando configurações atualizáveis. O WebSocket é usado para entrega de comandos, enquanto o HTTPS é utilizado para extração de dados.
Alguns dos plugins incluem um módulo de localização que rastreia a localização precisa das vítimas, gravação de som capaz de capturar áudio ambiente e conversas de áudio VOIP do WeChat, e um módulo de faturamento para coletar o histórico de pagamentos do WeChat Pay.
O comando e controle (C2) do LightSpy envolve vários servidores localizados na China continental, Hong Kong, Taiwan, singapura e Rússia, com o malware LightSpy e o WyrmSpy compartilhando a mesma infraestrutura.
A ThreatFabric também identificou um servidor que hospeda dados de 13 números de telefone exclusivos pertencentes a operadoras de telefonia celular chinesas, levantando a possibilidade de que esses dados representem os números de teste dos desenvolvedores do LightSpy ou das vítimas.
As ligações entre DragonEgg e LightSpy são baseadas em semelhanças em padrões de configuração, estrutura de tempo de execução, plugins e formato de comunicação C2.
A empresa observou que a maneira como o grupo distribuiu os arquivos malicioisos por meio do popular aplicativo de mensagens foi engenhosa, pois ele herdou todas as permissões de acesso que o aplicativo tinha, incluindo acesso à câmera e ao armazenamento.
Comments