Les chercheurs en cybersécurité ont signalé une version mise à jour de l’implant LightSpy qui est équipé d’un ensemble élargi de fonctionnalités de collecte de données pour extraire les informations des plateformes de médias sociaux comme Facebook et Instagram.
LightSpy est le nom donné à un logiciel espion modulaire capable d’infecter les systèmes Windows et Apple dans le but de récolter les données. Il a été documenté pour la première fois en 2020, ciblant les utilisateurs de Hong Kong.
Cela inclut les informations du réseau Wi-Fi, les captures d’écran, l’emplacement, le trousseau iCloud, les enregistrements sonores, les photos, l’historique du navigateur, les contacts, l’historique des appels et les messages SMS, et les données de diverses applications telles que les fichiers, la ligne, le maître de messagerie, le télégramme, Tencent QQ, WeChat et WhatsApp.
À la fin de l’année dernière, ThreatFabric a détaillé une version mise à jour du malware qui intègre des capacités destructrices pour empêcher le dispositif compromis de démarrer, ainsi que l’élargissement du nombre de plugins pris en charge de 12 à 28.
Les résultats précédents ont également révélé des chevauchements potentiels entre LightSpy et un malware Android nommé DragOnegg, mettant en évidence la nature multiplateforme de la menace.
La dernière analyse de Hunt.io sur l’infrastructure malveillante de commandement et de contrôle (C2) associée au logiciel espion a découvert la prise en charge de plus de 100 commandes couvrant Android, iOS, Windows, MacOS, routeurs et Linux.
“La nouvelle liste de commandes passe de la collecte directe des données à un contrôle opérationnel plus large, y compris la gestion de la transmission (‘传输控制’) et le suivi des versions du plugin (‘上传插件版本详细信息’)”, la société dit.
“Ces ajouts suggèrent un cadre plus flexible et adaptable, permettant aux opérateurs légers de gérer les déploiements plus efficacement sur plusieurs plates-formes.”
Parmi les nouvelles commandes, la possibilité de cibler les fichiers de base de données d’applications Facebook et Instagram pour l’extraction de données à partir des appareils Android. Mais dans une tournure intéressante, les acteurs de la menace ont supprimé les plugins iOS associés à des actions destructrices sur l’hôte de la victime.
Il y a également 15 plugins spécifiques à Windows conçus pour la surveillance du système et la collecte de données, la plupart d’entre elles axées sur le chyophyse, l’enregistrement audio et l’interaction USB.
La société de renseignement sur les menaces a déclaré qu’elle avait également découvert un point de terminaison (“/ téléphone / phoneInfo”) dans le panneau d’administration qui accorde aux utilisateurs connectés la possibilité de contrôler à distance les appareils mobiles infectés. On ne sait actuellement pas si ceux-ci représentent de nouveaux développements ou des versions anciennes auparavant sans papiers.
“Le passage du ciblage des applications de messagerie vers Facebook et Instagram étend la capacité de Lightspy à collecter des messages privés, des listes de contacts et des métadonnées de compte à partir de plateformes sociales largement utilisées”, a déclaré Hunt.io.
“L’extraction de ces fichiers de base de données pourrait fournir aux attaquants des conversations stockées, des connexions utilisateur et des données potentiellement liées à la session, une augmentation des capacités de surveillance et des opportunités d’exploitation supplémentaire.”
La divulgation intervient alors que Cyfirma a révélé que les détails d’un logiciel malveillant Android ont surnommé Spylend qui se masque en tant qu’application financière nommée Finance Simplified (nom apk “com.someca.count”) sur le Google Play Store mais s’engage dans le prêt prédateur, le chanteur et l’extorsion destinés Utilisateurs indiens.
“En tirant parti du ciblage basé sur la localisation, l’application affiche une liste d’applications de prêt non autorisées qui fonctionnent entièrement dans WebView, permettant aux attaquants de contourner l’ordre des Play Store”, la société dit.
“Une fois installées, ces applications de prêt récoltent des données d’utilisateurs sensibles, appliquent des pratiques de prêt d’exploitation et utilisent des tactiques chanteuses pour extorquer de l’argent.”
Certaines des applications de prêt annoncées sont Kreditpro (anciennement KreditApple), Moneyape, Stashfur, Fairbalance et PokketMe. Les utilisateurs qui installent des finances simplifiés de l’extérieur de l’Inde sont servis une vue sur le Web inoffensive qui répertorie divers calculatrices pour les finances personnelles, la comptabilité et la fiscalité, suggérant que la campagne est conçue pour cibler spécifiquement les utilisateurs indiens.
L’application n’est plus disponible en téléchargement à partir du marché officiel des applications Android. Selon les statistiques disponibles sur la tour du capteur, l’application était publié Vers la mi-décembre 2024 et a attiré plus de 100 000 installations.
“Initialement présenté comme une application de gestion des finances inoffensive, il télécharge une application de prêt de fraude à partir d’une URL de téléchargement externe, qui une fois installée, obtient des autorisations approfondies pour accéder aux données sensibles, y compris les fichiers, les contacts, les journaux d’appels, le SMS, le contenu du presse-papiers et même les données Caméra, “a souligné Cyfirma.
Les clients bancaires indiens de la vente au détail sont également devenus la cible d’une autre campagne qui distribue un nom de logiciel malveillant Finstelleur qui se fait passer pour les applications bancaires légitimes, mais est conçue pour collecter des références de connexion et faciliter la fraude financière en effectuant des transactions non autorisées.
“Distribué via des liens de phishing et de l’ingénierie sociale, ces fausses applications imitent étroitement les applications bancaires légitimes, incitant les utilisateurs à révéler des informations d’identification, des données financières et des détails personnels” dit.
“À l’aide de robots télégrammes, le malware peut recevoir des instructions et envoyer des données volées sans soutenir, ce qui rend plus difficile pour les systèmes de sécurité de détecter et de bloquer la communication.”




