Novas descobertas identificaram conexões entre um spyware Android chamado DragonEgg e outra ferramenta sofisticada de vigilância modular iOS chamada LightSpy.
DragonEgg, juntamente com WyrmSpy (também conhecido como AndroidControl), foi divulgado pela primeira vez pela Lookout em julho de 2023 como uma cepa de malware capaz de coletar dados sensíveis de dispositivos Android.
Foi atribuído ao grupo chinês de nações-estado APT41.
Por outro lado, detalhes sobre LightSpy vieram à luz em março de 2020 como parte de uma campanha apelidada de Operation Poisoned News, na qual os usuários do iPhone da Apple em Hong Kong foram alvo de ataques de watering hole para instalar o spyware.
Agora, de acordo com a empresa holandesa de segurança móvel ThreatFabric, as cadeias de ataques envolvem o uso de um aplicativo Telegram com trojan que é projetado para baixar uma carga útil de segunda fase (smallmload.jar), que, por sua vez, é configurado para baixar um terceiro componente codinome Core.
Uma análise mais aprofundada dos artefatos revelou que o implante tem sido ativamente mantido desde pelo menos 11 de dezembro de 2018, com a última versão lançada em 13 de julho de 2023.
O módulo central de LightSpy (ou seja, DragonEgg) funciona como um plugin orquestrador responsável por coletar a identidade digital do dispositivo, estabelecer contato com um servidor remoto, aguardar mais instruções e atualizar-se, bem como os plugins.
"O Core do LightSpy é extremamente flexível em termos de configuração: os operadores podem controlar precisamente o spyware usando a configuração atualizável", disse o ThreatFabric, observando que o WebSocket é usado para entrega de comandos e o HTTPS é usado para exfiltração de dados.
Alguns dos plugins notáveis incluem um locationmodule que rastreia a localização precisa das vítimas, soundrecord que pode capturar áudio ambiente, bem como de conversas de áudio VOIP do WeChat, e um módulo de fatura para coletar histórico de pagamento do WeChat Pay.F
O comando e controle (C2) do LightSpy compreende vários servidores localizados na China continental, Hong Kong, Taiwan, Singapura e Rússia, com o malware e WyrmSpy compartilhando a mesma infraestrutura.
ThreatFabric disse que também identificou um servidor hospedando dados de 13 números de telefone únicos pertencentes a operadoras de celular chinesas, levantando a possibilidade de os dados representarem os números de teste dos desenvolvedores do LightSpy ou das vítimas.
Os links entre DragonEgg e LightSpy vêm de semelhanças nos padrões de configuração, estrutura de tempo de execução e plugins, e o formato de comunicação C2.
"A maneira como o grupo de atores de ameaças distribuiu a fase maliciosa inicial dentro do mensageiro popular foi um truque inteligente", disse a empresa.
"Haviam vários benefícios nisso: o implante herdou todas as permissões de acesso que o aplicativo transportador tinha.
No caso do mensageiro, havia muitas permissões privadas, como acesso à câmera e ao armazenamento."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...