Badacze zajmujący się cyberbezpieczeństwem odkryli „odnowioną” kampanię cyberszpiegowską skierowaną do użytkowników w Azji Południowej, a jej celem było dostarczenie implantu oprogramowania szpiegującego dla systemu Apple iOS o nazwie LightSpy .
„Najnowsza wersja LightSpy, nazwana „F_Warehouse”, może pochwalić się modułową strukturą z rozbudowanymi funkcjami szpiegowskimi” – stwierdził zespół BlackBerry Threat Research and Intelligence Team w opublikowanym w zeszłym tygodniu raporcie.
Istnieją dowody sugerujące, że kampania mogła być skierowana do Indii na podstawie zgłoszeń przesłanych przez VirusTotal z ich granic.
LightSpy , udokumentowany po raz pierwszy w 2020 roku przez Trend Micro i Kaspersky, odnosi się do zaawansowanego backdoora dla systemu iOS, który jest dystrybuowany poprzez ataki watering hole za pośrednictwem zainfekowanych witryn z wiadomościami.
Kolejna analiza przeprowadzona przez ThreatFabric w październiku 2023 r. ujawniła, że infrastruktura i funkcjonalność pokrywają się między złośliwym oprogramowaniem a DragonEgg, w pełni funkcjonalnym oprogramowaniem szpiegującym dla systemu Android przypisywanym chińskiej grupie państw narodowych APT41 (znanej również jako Winnti).
Początkowy wektor wtargnięcia nie jest obecnie znany, chociaż podejrzewa się, że dzieje się to za pośrednictwem witryn informacyjnych, które zostały naruszone i są regularnie odwiedzane przez cele.
Punktem wyjścia jest moduł ładujący pierwszego etapu, który działa jako starter dla podstawowego backdoora LightSpy i jego różnych wtyczek, które są pobierane ze zdalnego serwera w celu wykonania funkcji gromadzenia danych.
LightSpy jest w pełni funkcjonalny i modułowy, umożliwiając cyberprzestępcom zbieranie poufnych informacji, w tym kontaktów, wiadomości SMS, dokładnych danych o lokalizacji i nagrań dźwiękowych podczas połączeń VoIP.
Najnowsza wersja odkryta przez kanadyjską firmę zajmującą się cyberbezpieczeństwem dodatkowo rozszerza możliwości kradzieży plików i danych z popularnych aplikacji, takich jak Telegram, QQ i WeChat, danych pęku kluczy iCloud oraz historii przeglądarki internetowej z Safari i Google Chrome.
Złożona platforma szpiegowska oferuje również możliwości gromadzenia listy podłączonych sieci Wi-Fi, szczegółowych informacji o zainstalowanych aplikacjach, robienia zdjęć aparatem urządzenia, nagrywania dźwięku i wykonywania poleceń powłoki otrzymanych z serwera, co prawdopodobnie umożliwia mu przejęcie kontroli nad zainfekowane urządzenia.
„LightSpy wykorzystuje przypinanie certyfikatów, aby zapobiec wykryciu i przechwyceniu komunikacji z serwerem dowodzenia i kontroli (C2)” – powiedział Blackberry. „Tak więc, jeśli ofiara znajduje się w sieci, w której analizowany jest ruch, nie zostanie nawiązane żadne połączenie z serwerem C2”.
Dalsze badanie kodu źródłowego implantu sugeruje zaangażowanie rodzimych użytkowników języka chińskiego, co zwiększa możliwość działalności sponsorowanej przez państwo. Co więcej, LightSpy komunikuje się z serwerem zlokalizowanym pod adresem 103.27[.]109[.]217, na którym znajduje się również panel administracyjny, który w przypadku wprowadzenia nieprawidłowych danych logowania wyświetla komunikat o błędzie w języku chińskim.
Rozwój nastąpił po tym, jak Apple poinformowało, że wysłało powiadomienia o zagrożeniach do użytkowników w 92 krajach, wliczając Indie, że mogli oni stać się celem ataków najemnego oprogramowania szpiegującego.
„Powrót LightSpy, teraz wyposażonego we wszechstronną platformę „F_Warehouse”, sygnalizuje eskalację zagrożeń związanych ze szpiegostwem mobilnym” – stwierdził BlackBerry.
„Rozszerzone możliwości złośliwego oprogramowania, w tym rozległa eksfiltracja danych, nadzór audio i potencjalna pełna kontrola nad urządzeniami, stanowią poważne ryzyko dla docelowych osób i organizacji w Azji Południowej”.