Các nhà nghiên cứu liên kết phần mềm gián điệp Android DragonEgg với phần mềm giám sát iOS LightSpy

www.tuoitre.vn -   04/10/2023 08:00:00 1194

Những phát hiện mới đã xác định được mối liên hệ giữa phần mềm gián điệp Android có tên DragonEgg và một công cụ phần mềm giám sát iOS mô-đun phức tạp khác có tên LightSpy.

Các nhà nghiên cứu liên kết phần mềm gián điệp Android DragonEgg với phần mềm giám sát iOS LightSpy

DragonEgg, cùng với WyrmSpy (còn gọi là AndroidControl), lần đầu tiên được Lookout tiết lộ vào tháng 7 năm 2023 là một loại phần mềm độc hại có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị Android. Nó được quy cho nhóm nhà nước quốc gia Trung Quốc APT41.

Mặt khác, thông tin chi tiết về LightSpy được đưa ra ánh sáng vào tháng 3 năm 2020 như một phần của chiến dịch có tên là Operation Poisoned News, trong đó người dùng iPhone của Apple ở Hồng Kông trở thành mục tiêu của các cuộc tấn công Watering Hole để cài đặt phần mềm gián điệp.

Giờ đây, theo các chuyên gia bảo mật, chuỗi tấn công DragonEgg liên quan đến việc sử dụng ứng dụng Telegram bị nhiễm trojan được thiết kế để tải xuống tải trọng giai đoạn hai (smallmload.jar), sau đó, được định cấu hình để tải xuống thành phần thứ ba có tên mã Core .

Phân tích sâu hơn về các hiện vật đã tiết lộ rằng biến thể Android của bộ cấy đã được duy trì tích cực ít nhất kể từ ngày 11 tháng 12 năm 2018, với phiên bản mới nhất được phát hành vào ngày 13 tháng 7 năm 2023. Phiên bản này bao gồm 14 plugin liên quan và bộ cấy lõi hỗ trợ 24 lệnh.

Mô-đun cốt lõi của LightSpy (tức là DragonEgg) hoạt động như một plugin điều phối chịu trách nhiệm thu thập dấu vân tay của thiết bị, thiết lập liên hệ với máy chủ từ xa, chờ hướng dẫn thêm và cập nhật chính nó cũng như các plugin.

“LightSpy Core cực kỳ linh hoạt về mặt cấu hình: người vận hành có thể kiểm soát chính xác phần mềm gián điệp bằng cách sử dụng cấu hình có thể cập nhật”, ThreatFabric cho biết và lưu ý rằng WebSocket được sử dụng để gửi lệnh và HTTPS được sử dụng để lọc dữ liệu.

Một số plugin đáng chú ý bao gồm mô-đun vị trí theo dõi vị trí chính xác của nạn nhân, bản ghi âm có thể ghi lại âm thanh xung quanh cũng như từ các cuộc hội thoại âm thanh WeChat VOIP và mô-đun hóa đơn để thu thập lịch sử thanh toán từ WeChat Pay.

Hệ thống chỉ huy và kiểm soát (C2) của LightSpy bao gồm một số máy chủ đặt tại Trung Quốc đại lục, Hồng Kông, Đài Loan, Singapore và Nga, với phần mềm độc hại và WyrmSpy dùng chung cơ sở hạ tầng.

Chuyên gia bảo mật cho biết họ cũng xác định được một máy chủ lưu trữ dữ liệu từ 13 số điện thoại duy nhất của các nhà khai thác điện thoại di động Trung Quốc, làm tăng khả năng dữ liệu đại diện cho số thử nghiệm của các nhà phát triển LightSpy hoặc của nạn nhân.

Mối liên kết giữa DragonEgg và LightSpy xuất phát từ những điểm tương đồng về mẫu cấu hình, cấu trúc thời gian chạy và plugin cũng như định dạng giao tiếp C2.

Chuyên gia cho biết: “Cách nhóm tác nhân đe dọa phát tán giai đoạn độc hại ban đầu bên trong ứng dụng nhắn tin phổ biến là một thủ thuật thông minh”.

"Điều đó có một số lợi ích: thiết bị cấy ghép kế thừa tất cả các quyền truy cập mà ứng dụng của nhà cung cấp dịch vụ có. Trong trường hợp của trình nhắn tin, có rất nhiều quyền riêng tư như quyền truy cập vào máy ảnh và bộ lưu trữ."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 53
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 162
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 210
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 146
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 227
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 225
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

LIÊN HỆ

Thông tin liên hệ