Связаны ли два софта между собой и как пользователям iOS и Android не угодить в Telegram-ловушку?
Исследователи выявили связь между DragonEgg, шпионским ПО для Android, и LightSpy модульным инструментом для слежки в системе iOS.
Первые данные о DragonEgg, которое связывают с китайской группой APT41, представила компания Lookout в июле 2023 года. Примерно в это же время был обнаружен WyrmSpy — еще один шпионский софт, также известный как AndroidControl.
О LightSpy кибербезопасное сообщество узнало еще в марте 2020 года в рамках кампании «Operation Poisoned News». Тогда жертвами атак стали пользователи iPhone в Гонконге.
Тактику хакеров описали исследователи мобильной безопасности из голландской фирмы ThreatFabric. Сначала пользователь должен установить на свое устройство троянизированную версию Telegram. Она предназначена для загрузки вторичного вредоносного кода (smallmload.jar), который в свою очередь активирует еще один компонент под названием Core.
Анализ показал, что LightSpy регулярно обновлялось начиная с 11 декабря 2018 года, причем последнее обновление было отмечено 13 июля 2023 года.
Основной модуль LightSpy (вероятно, DragonEgg) отвечает за координацию процессов. В его задачи входят: сбор информации об устройстве, установка связи с удаленным сервером, ожидание дальнейших директив и самообновление. Программа обрабатывает команды через WebSocket и передает данные через HTTPS.
Было обнаружены еще несколько модулей. Например, инструменты для отслеживания геолокации устройства, записи окружающих звуков и разговоров в WeChat, а также функция, которая собирает историю платежей через WeChat Pay.
Серверы управления и контроля LightSpy находятся в разных регионах: Китае, Гонконге, Тайване и Сингапуре. При этом, интересно, что LightSpy и WyrmSpy используют одну и ту же инфраструктуру.
На одном из серверов нашли 13 уникальных номеров, принадлежащих китайским мобильным операторам. Исследователи сделали вывод, что это либо тестовые номера разработчиков LightSpy, либо телефоны их жертв.
Сходство между DragonEgg и LightSpy – в их конфигурациях, структуре выполнения и способах связи с серверами. Как именно они связаны между собой – пока неясно.