Spyware LightSpy Vinculado à China Mira Usuários de iPhone no Sul Asiático
15 de Abril de 2024

Pesquisadores de cibersegurança descobriram uma campanha de cyberespionagem "renovada" visando usuários no Sul da Ásia com o objetivo de entregar um implante de spyware para Apple iOS chamado LightSpy.


"A última versão do LightSpy, apelidada de 'F_Warehouse', possui uma estrutura modular com recursos extensivos de espionagem", disse a equipe da BlackBerry Threat Research and Intelligence Team em um relatório publicado na semana passada.


Há evidências que sugerem que a campanha possa ter visado a Índia, com base em submissões para o VirusTotal de dentro de suas fronteiras.


Documentado pela primeira vez em 2020 por Trend Micro e Kaspersky, LightSpy refere-se a um backdoor avançado para iOS que é distribuído via ataques de watering hole através de sites de notícias comprometidos.

Uma análise subsequente da ThreatFabric em outubro de 2023 descobriu sobreposições de infraestrutura e funcionalidade entre o malware e um spyware Android conhecido como DragonEgg, que é atribuído ao grupo chinês de espionagem estatal APT41 (também conhecido como Winnti).

O vetor de intrusão inicial atualmente não é conhecido, embora se suspeite que seja via sites de notícias que foram violados e são regularmente visitados pelos alvos.

O ponto de partida é um carregador de primeira fase que atua como uma plataforma de lançamento para o backdoor LightSpy principal e seus vários plugins que são recuperados de um servidor remoto para realizar as funções de coleta de dados.

LightSpy é ao mesmo tempo totalmente equipado e modular, permitindo aos atores de ameaças coletar informações sensíveis, incluindo contatos, mensagens SMS, dados precisos de localização e gravações de som durante chamadas VoIP.

A versão mais recente descoberta pela firma canadense de cibersegurança amplia ainda mais suas capacidades para roubar arquivos, bem como dados de aplicativos populares como Telegram, QQ e WeChat, dados do iCloud Keychain e o histórico de navegadores como Safari e Google Chrome.

O complexo framework de espionagem também possui capacidades para coletar uma lista de redes Wi-Fi conectadas, detalhes sobre aplicativos instalados, tirar fotos usando a câmera do dispositivo, gravar áudio e executar comandos de shell recebidos do servidor, provavelmente permitindo que ele sequestre o controle dos dispositivos infectados.

"O LightSpy emprega o pinning de certificado para evitar detecção e interceptação da comunicação com seu servidor de comando e controle (C2)", disse a Blackberry.

"Assim, se a vítima estiver em uma rede onde o tráfego está sendo analisado, nenhuma conexão com o servidor C2 será estabelecida."

Uma análise mais aprofundada do código-fonte do implante sugere o envolvimento de falantes nativos do chinês, levantando a possibilidade de atividade patrocinada pelo estado.

Além disso, o LightSpy se comunica com um servidor localizado em 103.27[.]109[.]217, que também hospeda um painel de administrador que exibe uma mensagem de erro em chinês ao inserir credenciais de login incorretas.

O desenvolvimento ocorre enquanto a Apple disse ter enviado notificações de ameaça para usuários em 92 países, incluindo a Índia, de que eles podem ter sido alvo de ataques de spyware mercenário.

"O retorno do LightSpy, agora equipado com a versátil estrutura 'F_Warehouse', sinaliza uma escalada nas ameaças de espionagem móvel", disse a BlackBerry.

"As capacidades expandidas do malware, incluindo exfiltração extensiva de dados, vigilância áudio e potencial controle total do dispositivo, representam um risco severo para indivíduos e organizações alvo no Sul da Ásia."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...