De nouvelles découvertes ont identifié des liens entre un logiciel espion Android appelé DragonEgg et un autre outil de surveillance iOS modulaire sophistiqué nommé Espion léger.
Oeuf De Dragonaux côtés de WyrmSpy (alias AndroidControl), a été divulgué pour la première fois par Lookout en juillet 2023 comme une souche de malware capable de collecter des données sensibles à partir d’appareils Android. Il a été attribué au groupe d’États-nations chinois APT41.
D’un autre côté, des détails sur LightSpy ont été révélés en mars 2020 dans le cadre d’une campagne baptisée Operation Poisoned News dans laquelle les utilisateurs d’iPhone d’Apple à Hong Kong ont été ciblés par des attaques de point d’eau pour installer le logiciel espion.
Désormais, selon la société néerlandaise de sécurité mobile ThreatFabric, les chaînes d’attaque impliquent l’utilisation d’une application Telegram trojanisée conçue pour télécharger une charge utile de deuxième étape (smallmload.jar), qui, à son tour, est configurée pour télécharger un troisième composant nommé Core. .
Une analyse plus approfondie des artefacts a révélé que l’implant était activement entretenu depuis au moins le 11 décembre 2018, la dernière version étant publiée le 13 juillet 2023.
Le module principal de LightSpy (c’est-à-dire DragonEgg) fonctionne comme un plugin orchestrateur chargé de collecter l’empreinte digitale de l’appareil, d’établir le contact avec un serveur distant, d’attendre des instructions supplémentaires et de se mettre à jour ainsi que les plugins.
« LightSpy Core est extrêmement flexible en termes de configuration : les opérateurs peuvent contrôler avec précision les logiciels espions grâce à la configuration pouvant être mise à jour », ThreatFabric ditnotant que WebSocket est utilisé pour la livraison des commandes et que HTTPS est utilisé pour l’exfiltration des données.
Certains des plugins notables incluent un module de localisation qui suit les emplacements précis des victimes, un enregistrement sonore qui peut capturer l’audio ambiant ainsi que les conversations audio WeChat VOIP, et un module de facture pour recueillir l’historique des paiements de WeChat Pay.
Le système de commande et de contrôle (C2) de LightSpy comprend plusieurs serveurs situés en Chine continentale, à Hong Kong, à Taiwan, à Singapour et en Russie, le logiciel malveillant et WyrmSpy partageant la même infrastructure.
ThreatFabric a déclaré avoir également identifié un serveur hébergeant des données provenant de 13 numéros de téléphone uniques appartenant à des opérateurs de téléphonie mobile chinois, ce qui soulève la possibilité que les données représentent soit les numéros de tests des développeurs de LightSpy, soit ceux des victimes.
Les liens entre DragonEgg et LightSpy proviennent de similitudes dans les modèles de configuration, la structure d’exécution et les plugins, ainsi que dans le format de communication C2.
« La façon dont le groupe d’acteurs menaçants a distribué l’étape initiale malveillante dans la messagerie populaire était une astuce astucieuse », a déclaré la société.
« Cela présentait plusieurs avantages : l’implant héritait de toutes les autorisations d’accès dont disposait l’application de support. Dans le cas de la messagerie, il y avait de nombreuses autorisations privées telles que l’accès à la caméra et au stockage. »