Nuevos hallazgos han identificado conexiones entre un software esp\u00eda de Android llamado DragonEgg y otra sofisticada herramienta modular de vigilancia de iOS llamada Esp\u00eda ligera<\/b>.<\/p>\n
Drag\u00f3nHuevo<\/b>junto a WyrmSpy<\/b> (tambi\u00e9n conocido como AndroidControl), fue revelado por primera vez por Lookout en julio de 2023 como una variedad de malware capaz de recopilar datos confidenciales de dispositivos Android. Se atribuy\u00f3 al grupo de estado-naci\u00f3n chino APT41.<\/p>\n
Por otro lado, los detalles sobre LightSpy salieron a la luz en marzo de 2020 como parte de una campa\u00f1a denominada Operaci\u00f3n Noticias Envenenadas en la que los usuarios de iPhone de Apple en Hong Kong fueron atacados con ataques de abrevadero para instalar el software esp\u00eda.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-investigadores-vinculan-el-software-espia-DragonEgg-para-Android-con.jpg\")
<\/a><\/center><\/div>\nAhora, seg\u00fan la firma holandesa de seguridad m\u00f3vil ThreatFabric, las cadenas de ataque implican el uso de una aplicaci\u00f3n Telegram troyanizada que est\u00e1 dise\u00f1ada para descargar una carga \u00fatil de segunda etapa (smallmload.jar), que, a su vez, est\u00e1 configurada para descargar un tercer componente con nombre en c\u00f3digo Core. .<\/p>\n
Un an\u00e1lisis m\u00e1s detallado de los artefactos ha revelado que el implante se ha mantenido activamente desde al menos el 11 de diciembre de 2018, y la \u00faltima versi\u00f3n se lanz\u00f3 el 13 de julio de 2023.<\/p>\n
<\/a><\/div>\nEl m\u00f3dulo principal de LightSpy (es decir, DragonEgg) funciona como un complemento orquestador responsable de recopilar la huella digital del dispositivo, establecer contacto con un servidor remoto, esperar m\u00e1s instrucciones y actualizarse a s\u00ed mismo y a los complementos.<\/p>\n
“LightSpy Core es extremadamente flexible en t\u00e9rminos de configuraci\u00f3n: los operadores pueden controlar con precisi\u00f3n el software esp\u00eda utilizando la configuraci\u00f3n actualizable”, ThreatFabric dicho<\/a>teniendo en cuenta que WebSocket se utiliza para la entrega de comandos y HTTPS para la filtraci\u00f3n de datos.<\/p>\n Algunos de los complementos notables incluyen un m\u00f3dulo de ubicaci\u00f3n que rastrea las ubicaciones precisas de las v\u00edctimas, una grabaci\u00f3n de sonido que puede capturar audio ambiental, as\u00ed como conversaciones de audio WeChat VOIP, y un m\u00f3dulo de facturaci\u00f3n para recopilar el historial de pagos de WeChat Pay.<\/p>\n El comando y control (C2) de LightSpy comprende varios servidores ubicados en China continental, Hong Kong, Taiw\u00e1n, Singapur y Rusia, y el malware y WyrmSpy comparten la misma infraestructura.<\/p>\n ThreatFabric dijo que tambi\u00e9n identific\u00f3 un servidor que aloja datos de 13 n\u00fameros de tel\u00e9fono \u00fanicos pertenecientes a operadores de telefon\u00eda celular chinos, lo que plantea la posibilidad de que los datos representen los n\u00fameros de prueba de los desarrolladores de LightSpy o de las v\u00edctimas.<\/p>\n Los v\u00ednculos entre DragonEgg y LightSpy surgen de similitudes en los patrones de configuraci\u00f3n, la estructura de tiempo de ejecuci\u00f3n y los complementos, y el formato de comunicaci\u00f3n C2.<\/p>\n<\/a><\/center><\/div>\n