Pesquisadores de cibersegurança descobriram uma campanha de cyberespionagem "renovada" visando usuários no Sul da Ásia com o objetivo de entregar um implante de spyware para Apple iOS chamado LightSpy.
"A última versão do LightSpy, apelidada de 'F_Warehouse', possui uma estrutura modular com recursos extensivos de espionagem", disse a equipe da BlackBerry Threat Research and Intelligence Team em um relatório publicado na semana passada.
Há evidências que sugerem que a campanha possa ter visado a Índia, com base em submissões para o VirusTotal de dentro de suas fronteiras.
Documentado pela primeira vez em 2020 por Trend Micro e Kaspersky, LightSpy refere-se a um backdoor avançado para iOS que é distribuído via ataques de watering hole através de sites de notícias comprometidos.
Uma análise subsequente da ThreatFabric em outubro de 2023 descobriu sobreposições de infraestrutura e funcionalidade entre o malware e um spyware Android conhecido como DragonEgg, que é atribuído ao grupo chinês de espionagem estatal APT41 (também conhecido como Winnti).
O vetor de intrusão inicial atualmente não é conhecido, embora se suspeite que seja via sites de notícias que foram violados e são regularmente visitados pelos alvos.
O ponto de partida é um carregador de primeira fase que atua como uma plataforma de lançamento para o backdoor LightSpy principal e seus vários plugins que são recuperados de um servidor remoto para realizar as funções de coleta de dados.
LightSpy é ao mesmo tempo totalmente equipado e modular, permitindo aos atores de ameaças coletar informações sensíveis, incluindo contatos, mensagens SMS, dados precisos de localização e gravações de som durante chamadas VoIP.
A versão mais recente descoberta pela firma canadense de cibersegurança amplia ainda mais suas capacidades para roubar arquivos, bem como dados de aplicativos populares como Telegram, QQ e WeChat, dados do iCloud Keychain e o histórico de navegadores como Safari e Google Chrome.
O complexo framework de espionagem também possui capacidades para coletar uma lista de redes Wi-Fi conectadas, detalhes sobre aplicativos instalados, tirar fotos usando a câmera do dispositivo, gravar áudio e executar comandos de shell recebidos do servidor, provavelmente permitindo que ele sequestre o controle dos dispositivos infectados.
"O LightSpy emprega o pinning de certificado para evitar detecção e interceptação da comunicação com seu servidor de comando e controle (C2)", disse a Blackberry.
"Assim, se a vítima estiver em uma rede onde o tráfego está sendo analisado, nenhuma conexão com o servidor C2 será estabelecida."
Uma análise mais aprofundada do código-fonte do implante sugere o envolvimento de falantes nativos do chinês, levantando a possibilidade de atividade patrocinada pelo estado.
Além disso, o LightSpy se comunica com um servidor localizado em 103.27[.]109[.]217, que também hospeda um painel de administrador que exibe uma mensagem de erro em chinês ao inserir credenciais de login incorretas.
O desenvolvimento ocorre enquanto a Apple disse ter enviado notificações de ameaça para usuários em 92 países, incluindo a Índia, de que eles podem ter sido alvo de ataques de spyware mercenário.
"O retorno do LightSpy, agora equipado com a versátil estrutura 'F_Warehouse', sinaliza uma escalada nas ameaças de espionagem móvel", disse a BlackBerry.
"As capacidades expandidas do malware, incluindo exfiltração extensiva de dados, vigilância áudio e potencial controle total do dispositivo, representam um risco severo para indivíduos e organizações alvo no Sul da Ásia."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...