Các nhà nghiên cứu liên kết phần mềm gián điệp Android DragonEgg với phần mềm giám sát iOS LightSpy

Những phát hiện mới đã xác định được mối liên hệ giữa phần mềm gián điệp Android có tên DragonEgg và một công cụ phần mềm giám sát iOS mô-đun phức tạp khác có tên LightSpy.

DragonEgg, cùng với WyrmSpy (còn gọi là AndroidControl), lần đầu tiên được Lookout tiết lộ vào tháng 7 năm 2023 là một loại phần mềm độc hại có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị Android. Nó được quy cho nhóm nhà nước quốc gia Trung Quốc APT41.

Mặt khác, thông tin chi tiết về LightSpy được đưa ra ánh sáng vào tháng 3 năm 2020 như một phần của chiến dịch có tên là Operation Poisoned News, trong đó người dùng iPhone của Apple ở Hồng Kông trở thành mục tiêu của các cuộc tấn công Watering Hole để cài đặt phần mềm gián điệp.

Giờ đây, theo các chuyên gia bảo mật, chuỗi tấn công DragonEgg liên quan đến việc sử dụng ứng dụng Telegram bị nhiễm trojan được thiết kế để tải xuống tải trọng giai đoạn hai (smallmload.jar), sau đó, được định cấu hình để tải xuống thành phần thứ ba có tên mã Core .

Phân tích sâu hơn về các hiện vật đã tiết lộ rằng biến thể Android của bộ cấy đã được duy trì tích cực ít nhất kể từ ngày 11 tháng 12 năm 2018, với phiên bản mới nhất được phát hành vào ngày 13 tháng 7 năm 2023. Phiên bản này bao gồm 14 plugin liên quan và bộ cấy lõi hỗ trợ 24 lệnh.

Mô-đun cốt lõi của LightSpy (tức là DragonEgg) hoạt động như một plugin điều phối chịu trách nhiệm thu thập dấu vân tay của thiết bị, thiết lập liên hệ với máy chủ từ xa, chờ hướng dẫn thêm và cập nhật chính nó cũng như các plugin.

“LightSpy Core cực kỳ linh hoạt về mặt cấu hình: người vận hành có thể kiểm soát chính xác phần mềm gián điệp bằng cách sử dụng cấu hình có thể cập nhật”, ThreatFabric cho biết và lưu ý rằng WebSocket được sử dụng để gửi lệnh và HTTPS được sử dụng để lọc dữ liệu.

Một số plugin đáng chú ý bao gồm mô-đun vị trí theo dõi vị trí chính xác của nạn nhân, bản ghi âm có thể ghi lại âm thanh xung quanh cũng như từ các cuộc hội thoại âm thanh WeChat VOIP và mô-đun hóa đơn để thu thập lịch sử thanh toán từ WeChat Pay.

Hệ thống chỉ huy và kiểm soát (C2) của LightSpy bao gồm một số máy chủ đặt tại Trung Quốc đại lục, Hồng Kông, Đài Loan, Singapore và Nga, với phần mềm độc hại và WyrmSpy dùng chung cơ sở hạ tầng.

Chuyên gia bảo mật cho biết họ cũng xác định được một máy chủ lưu trữ dữ liệu từ 13 số điện thoại duy nhất của các nhà khai thác điện thoại di động Trung Quốc, làm tăng khả năng dữ liệu đại diện cho số thử nghiệm của các nhà phát triển LightSpy hoặc của nạn nhân.

Mối liên kết giữa DragonEgg và LightSpy xuất phát từ những điểm tương đồng về mẫu cấu hình, cấu trúc thời gian chạy và plugin cũng như định dạng giao tiếp C2.

Chuyên gia cho biết: “Cách nhóm tác nhân đe dọa phát tán giai đoạn độc hại ban đầu bên trong ứng dụng nhắn tin phổ biến là một thủ thuật thông minh”.

"Điều đó có một số lợi ích: thiết bị cấy ghép kế thừa tất cả các quyền truy cập mà ứng dụng của nhà cung cấp dịch vụ có. Trong trường hợp của trình nhắn tin, có rất nhiều quyền riêng tư như quyền truy cập vào máy ảnh và bộ lưu trữ."

Hương – Theo TheHackerNews