DragonEgg ve LightSpy arasındaki bağlantılar, yapılandırma kalıpları, çalışma zamanı yapısı ve eklentileri ile C2 iletişim formatındaki benzerliklerden kaynaklanmaktadır
Ejderha Yumurtasıyanında WyrmSpy (diğer adıyla AndroidControl), ilk olarak Temmuz 2023’te Lookout tarafından Android cihazlardan hassas veriler toplayabilen bir kötü amaçlı yazılım türü olarak açıklandı
LightSpy’ın çekirdek modülü (yani DragonEgg), cihazın parmak izini toplamaktan, uzak bir sunucuyla iletişim kurmaktan, daha fazla talimat beklemekten ve eklentilerin yanı sıra kendisini güncellemekten sorumlu bir orkestratör eklentisi olarak işlev görür ”
siber-2
Şirket, “Tehdit aktörü grubunun popüler mesajlaşma programındaki ilk kötü niyetli aşamayı dağıtma şekli akıllıca bir hileydi” dedi
ThreatFabric aynı zamanda Çinli cep telefonu operatörlerine ait 13 benzersiz telefon numarasından verileri barındıran bir sunucunun da tespit edildiğini ve verilerin LightSpy geliştiricilerinin veya kurbanlarının test numaralarını temsil etme olasılığını artırdığını söyledi
“Bunun birçok faydası vardı: İmplant, taşıyıcı uygulamanın sahip olduğu tüm erişim izinlerini devraldı
04 Eki 2023THNMobil Güvenlik / Casus Yazılım
Yeni bulgular, DragonEgg adlı bir Android casus yazılımı ile DragonEgg adlı başka bir gelişmiş modüler iOS gözetleme yazılımı aracı arasındaki bağlantıları belirledi jar) indirmek için tasarlanmış, truva atı haline getirilmiş bir Telegram uygulamasının kullanımını içeriyor ve bu da Core kod adlı üçüncü bir bileşeni indirecek şekilde yapılandırılmış Bu, Çin ulus devlet grubu APT41’e atfedildi
Şimdi, Hollandalı mobil güvenlik firması ThreatFabric’e göre, saldırı zincirleri, ikinci aşama bir yükü (smallmload
ThreatFabric, “LightSpy Core, konfigürasyon açısından son derece esnektir: operatörler, güncellenebilir konfigürasyonu kullanarak casus yazılımı hassas bir şekilde kontrol edebilirler ” söz konusuWebSocket’in komut dağıtımı için kullanıldığını ve HTTPS’nin veri sızdırma için kullanıldığını belirtiyor
Öte yandan LightSpy ile ilgili ayrıntılar Mart 2020’de, Hong Kong’daki Apple iPhone kullanıcılarının casus yazılımı yüklemek için sulama deliği saldırılarıyla hedef alındığı Zehirli Haber Operasyonu adlı kampanya kapsamında gün ışığına çıktı
Dikkate değer eklentilerden bazıları, kurbanların kesin konumlarını izleyen bir konum modülünü, WeChat VOIP sesli konuşmalarının yanı sıra ortam sesini de yakalayabilen ses kaydını ve WeChat Pay’den ödeme geçmişini toplayan bir fatura modülünü içeriyor Messenger söz konusu olduğunda, kamera ve depolama erişimi gibi pek çok özel izin mevcuttu
LightSpy’ın komuta ve kontrolü (C2), Çin Anakarası, Hong Kong, Tayvan, Singapur ve Rusya’da bulunan ve kötü amaçlı yazılım ve WyrmSpy’ın aynı altyapıyı paylaştığı çeşitli sunuculardan oluşur
Eserlerin daha ayrıntılı analizi, implantın en az 11 Aralık 2018’den bu yana aktif olarak bakımının yapıldığını ve en son sürümün 13 Temmuz 2023’te yayınlandığını ortaya çıkardı LightSpy