Pesquisadores de cibersegurança identificaram uma versão atualizada do implante LightSpy, que agora vem equipada com um conjunto expandido de recursos de coleta de dados para extrair informações de plataformas de mídia social como Facebook e Instagram.
LightSpy é o nome dado a um spyware modular capaz de infectar sistemas Windows e Apple com o objetivo de coletar dados.
Ele foi documentado pela primeira vez em 2020, visando usuários em Hong Kong.
Isso inclui informações de redes Wi-Fi, capturas de tela, localização, iCloud Keychain, gravações de som, fotos, histórico de navegação, contatos, histórico de chamadas e mensagens SMS, além de dados de vários aplicativos como Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat e WhatsApp.
No final do ano passado, a ThreatFabric detalhou uma versão atualizada do malware que incorpora capacidades destrutivas para impedir que o dispositivo comprometido inicialize, além de expandir o número de plugins suportados de 12 para 28.
Descobertas anteriores também revelaram possíveis sobreposições entre LightSpy e um malware para Android chamado DragonEgg, destacando a natureza multiplataforma da ameaça.
A análise mais recente da Hunt.io sobre a infraestrutura maliciosa de comando e controle (C2) associada ao spyware descobriu suporte para mais de 100 comandos abrangendo Android, iOS, Windows, macOS, roteadores e Linux.
"A nova lista de comandos muda o foco da coleta direta de dados para um controle operacional mais amplo, incluindo gerenciamento de transmissão e rastreamento de versão de plugins ", disse a empresa.
Essas adições sugerem uma estrutura mais flexível e adaptável, permitindo que os operadores do LightSpy gerenciem implantações de forma mais eficiente em múltiplas plataformas. Notável entre os novos comandos está a capacidade de direcionar arquivos de banco de dados de aplicativos do Facebook e Instagram para extração de dados de dispositivos Android.
Mas, curiosamente, os atores de ameaças removeram plugins iOS associados a ações destrutivas no dispositivo vítima.
Foram descobertos também 15 plugins específicos para Windows, projetados para vigilância do sistema e coleta de dados, com a maioria voltada para keylogging, gravação de áudio e interação com USB.
A firma de inteligência de ameaças disse também que descobriu um endpoint ("/phone/phoneinfo") no painel administrativo que concede aos usuários logados a capacidade de controlar remotamente os dispositivos móveis infectados.
Atualmente, não se sabe se estas representam novos desenvolvimentos ou versões mais antigas não documentadas anteriormente.
"A mudança de foco para aplicativos de mensagens para o Facebook e Instagram amplia a capacidade do LightSpy de coletar mensagens privadas, listas de contatos e metadados de conta de plataformas sociais amplamente utilizadas", disse Hunt.io.
Extrair esses arquivos de banco de dados pode fornecer aos atacantes conversas armazenadas, conexões de usuários e, potencialmente, dados relacionados à sessão, aumentando as capacidades de vigilância e as oportunidades para exploração adicional.
A divulgação ocorre enquanto a Cyfirma revelou detalhes de um malware para Android chamado SpyLend que se disfarça como um aplicativo financeiro denominado Finance Simplified (nome do APK "com.someca.count") na Google Play Store, mas se envolve em práticas de empréstimos predatórios, chantagem e extorsão visando usuários indianos.
"Aproveitando o direcionamento baseado em localização, o aplicativo exibe uma lista de aplicativos de empréstimos não autorizados que operam inteiramente dentro do WebView, permitindo aos atacantes contornar a fiscalização da Play Store", disse a empresa.
Uma vez instalados, esses aplicativos de empréstimo coletam dados sensíveis do usuário, impõem práticas de empréstimo exploratórias e empregam táticas de chantagem para extorquir dinheiro.
Alguns dos aplicativos de empréstimo anunciados são KreditPro (anteriormente KreditApple), MoneyAPE, StashFur, Fairbalance e PokketMe.
Usuários que instalam o Finance Simplified de fora da Índia recebem um WebView inofensivo que lista vários calculadoras para finanças pessoais, contabilidade e tributação, sugerindo que a campanha é projetada para visar especificamente usuários indianos.
O aplicativo não está mais disponível para download na loja oficial de aplicativos Android.
De acordo com estatísticas disponíveis na Sensor Tower, o aplicativo foi publicado por volta de meados de dezembro de 2024 e atraiu mais de 100.000 instalações.
"Inicialmente apresentado como um aplicativo inofensivo de gerenciamento financeiro, ele baixa um aplicativo fraudulento de empréstimo de uma URL de download externa, que, uma vez instalado, obtém extensas permissões para acessar dados sensíveis, incluindo arquivos, contatos, registros de chamadas, SMS, conteúdo da área de transferência e até a câmera", apontou a Cyfirma.
Clientes de bancos de varejo indianos também se tornaram alvo de outra campanha que distribui um malware codinome FinStealer que se passa por aplicativos bancários legítimos, mas é projetado para coletar credenciais de login e facilitar fraudes financeiras ao realizar transações não autorizadas.
"Distribuídos via links de phishing e engenharia social, esses aplicativos falsos imitam de perto os aplicativos bancários legítimos, enganando os usuários a revelar credenciais, dados financeiros e detalhes pessoais", disse a empresa.
Usando bots do Telegram, o malware pode receber instruções e enviar dados roubados sem levantar suspeitas, tornando mais difícil para os sistemas de segurança detectar e bloquear a comunicação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...