- 13,847
- 20
- 8 Ноя 2022
Связаны ли два софта между собой и как пользователям iOS и Android не угодить в Telegram-ловушку?
Исследователи Для просмотра ссылки Войдиили Зарегистрируйся между DragonEgg, шпионским ПО для Android , и LightSpy модульным инструментом для слежки в системе iOS .
Первые данные о DragonEgg, которое связывают с китайской группой APT41, представила компания Lookout в июле 2023 года. Примерно в это же время был обнаружен WyrmSpy — еще один шпионский софт, также известный как AndroidControl.
О LightSpy кибербезопасное сообщество узнало еще в марте 2020 года в рамках кампании «Operation Poisoned News». Тогда жертвами атак стали пользователи iPhone в Гонконге.
Тактику хакеров описали исследователи мобильной безопасности из голландской фирмы ThreatFabric . Сначала пользователь должен установить на свое устройство троянизированную версию Telegram . Она предназначена для загрузки вторичного вредоносного кода (smallmload.jar), который в свою очередь активирует еще один компонент под названием Core.
Анализ показал, что LightSpy регулярно обновлялось начиная с 11 декабря 2018 года, причем последнее обновление было отмечено 13 июля 2023 года.
Основной модуль LightSpy (вероятно, DragonEgg) отвечает за координацию процессов. В его задачи входят: сбор информации об устройстве, установка связи с удаленным сервером, ожидание дальнейших директив и самообновление. Программа обрабатывает команды через WebSocket и передает данные через HTTPS.
Было обнаружены еще несколько модулей. Например, инструменты для отслеживания геолокации устройства, записи окружающих звуков и разговоров в WeChat, а также функция, которая собирает историю платежей через WeChat Pay.
Серверы управления и контроля LightSpy находятся в разных регионах: Китае, Гонконге, Тайване и Сингапуре. При этом, интересно, что LightSpy и WyrmSpy используют одну и ту же инфраструктуру.
На одном из серверов нашли 13 уникальных номеров, принадлежащих китайским мобильным операторам. Исследователи сделали вывод, что это либо тестовые номера разработчиков LightSpy, либо телефоны их жертв.
Сходство между DragonEgg и LightSpy – в их конфигурациях, структуре выполнения и способах связи с серверами. Как именно они связаны между собой – пока неясно.
Исследователи Для просмотра ссылки Войди
Первые данные о DragonEgg, которое связывают с китайской группой APT41, представила компания Lookout в июле 2023 года. Примерно в это же время был обнаружен WyrmSpy — еще один шпионский софт, также известный как AndroidControl.
О LightSpy кибербезопасное сообщество узнало еще в марте 2020 года в рамках кампании «Operation Poisoned News». Тогда жертвами атак стали пользователи iPhone в Гонконге.
Тактику хакеров описали исследователи мобильной безопасности из голландской фирмы ThreatFabric . Сначала пользователь должен установить на свое устройство троянизированную версию Telegram . Она предназначена для загрузки вторичного вредоносного кода (smallmload.jar), который в свою очередь активирует еще один компонент под названием Core.
Анализ показал, что LightSpy регулярно обновлялось начиная с 11 декабря 2018 года, причем последнее обновление было отмечено 13 июля 2023 года.
Основной модуль LightSpy (вероятно, DragonEgg) отвечает за координацию процессов. В его задачи входят: сбор информации об устройстве, установка связи с удаленным сервером, ожидание дальнейших директив и самообновление. Программа обрабатывает команды через WebSocket и передает данные через HTTPS.
Было обнаружены еще несколько модулей. Например, инструменты для отслеживания геолокации устройства, записи окружающих звуков и разговоров в WeChat, а также функция, которая собирает историю платежей через WeChat Pay.
Серверы управления и контроля LightSpy находятся в разных регионах: Китае, Гонконге, Тайване и Сингапуре. При этом, интересно, что LightSpy и WyrmSpy используют одну и ту же инфраструктуру.
На одном из серверов нашли 13 уникальных номеров, принадлежащих китайским мобильным операторам. Исследователи сделали вывод, что это либо тестовые номера разработчиков LightSpy, либо телефоны их жертв.
Сходство между DragonEgg и LightSpy – в их конфигурациях, структуре выполнения и способах связи с серверами. Как именно они связаны между собой – пока неясно.
- Источник новости
- www.securitylab.ru
