Nuevos hallazgos han identificado conexiones entre un software espía de Android llamado DragonEgg y otra sofisticada herramienta modular de vigilancia de iOS llamada Espía ligera.
DragónHuevojunto a WyrmSpy (también conocido como AndroidControl), fue revelado por primera vez por Lookout en julio de 2023 como una variedad de malware capaz de recopilar datos confidenciales de dispositivos Android. Se atribuyó al grupo de estado-nación chino APT41.
Por otro lado, los detalles sobre LightSpy salieron a la luz en marzo de 2020 como parte de una campaña denominada Operación Noticias Envenenadas en la que los usuarios de iPhone de Apple en Hong Kong fueron atacados con ataques de abrevadero para instalar el software espía.
Ahora, según la firma holandesa de seguridad móvil ThreatFabric, las cadenas de ataque implican el uso de una aplicación Telegram troyanizada que está diseñada para descargar una carga útil de segunda etapa (smallmload.jar), que, a su vez, está configurada para descargar un tercer componente con nombre en código Core. .
Un análisis más detallado de los artefactos ha revelado que el implante se ha mantenido activamente desde al menos el 11 de diciembre de 2018, y la última versión se lanzó el 13 de julio de 2023.
El módulo principal de LightSpy (es decir, DragonEgg) funciona como un complemento orquestador responsable de recopilar la huella digital del dispositivo, establecer contacto con un servidor remoto, esperar más instrucciones y actualizarse a sí mismo y a los complementos.
«LightSpy Core es extremadamente flexible en términos de configuración: los operadores pueden controlar con precisión el software espía utilizando la configuración actualizable», ThreatFabric dichoteniendo en cuenta que WebSocket se utiliza para la entrega de comandos y HTTPS para la filtración de datos.
Algunos de los complementos notables incluyen un módulo de ubicación que rastrea las ubicaciones precisas de las víctimas, una grabación de sonido que puede capturar audio ambiental, así como conversaciones de audio WeChat VOIP, y un módulo de facturación para recopilar el historial de pagos de WeChat Pay.
El comando y control (C2) de LightSpy comprende varios servidores ubicados en China continental, Hong Kong, Taiwán, Singapur y Rusia, y el malware y WyrmSpy comparten la misma infraestructura.
ThreatFabric dijo que también identificó un servidor que aloja datos de 13 números de teléfono únicos pertenecientes a operadores de telefonía celular chinos, lo que plantea la posibilidad de que los datos representen los números de prueba de los desarrolladores de LightSpy o de las víctimas.
Los vínculos entre DragonEgg y LightSpy surgen de similitudes en los patrones de configuración, la estructura de tiempo de ejecución y los complementos, y el formato de comunicación C2.
«La forma en que el grupo de actores de amenazas distribuyó la etapa maliciosa inicial dentro del popular Messenger fue un truco inteligente», dijo la compañía.
«Esto tuvo varios beneficios: el implante heredó todos los permisos de acceso que tenía la aplicación del operador. En el caso de Messenger, hubo muchos permisos privados, como el acceso a la cámara y al almacenamiento».