Pesquisadores de segurança cibernética descobriram uma campanha “renovada” de espionagem cibernética visando usuários no sul da Ásia com o objetivo de fornecer um implante de spyware and adware para Apple iOS chamado LightSpy.
“A última iteração do LightSpy, apelidada de ‘F_Warehouse’, possui uma estrutura modular com amplos recursos de espionagem”, disse a equipe de pesquisa e inteligência de ameaças do BlackBerry em um relatório publicado na semana passada.
Há evidências que sugerem que a campanha pode ter como alvo a Índia com base nos envios do VirusTotal dentro de suas fronteiras.
Documentado pela primeira vez em 2020 pela Pattern Micro e Kaspersky, LightSpy refere-se a um backdoor iOS avançado que é distribuído por meio de ataques watering gap através de websites de notícias comprometidos.
Uma análise subsequente do ThreatFabric em outubro de 2023 descobriu sobreposições de infraestrutura e funcionalidade entre o malware e um spyware and adware Android conhecido como DragonEgg, que é atribuído ao grupo estatal chinês APT41 (também conhecido como Winnti).
O vetor de intrusão inicial ainda não é conhecido, embora se suspeite que seja através de websites de notícias que foram violados e que são visitados regularmente pelos alvos.
O ponto de partida é um carregador de primeiro estágio que atua como uma plataforma de lançamento para o backdoor principal do LightSpy e seus diversos plug-ins que são recuperados de um servidor remoto para executar as funções de coleta de dados.
O LightSpy é completo e modular, permitindo que os agentes de ameaças coletem informações confidenciais, incluindo contatos, mensagens SMS, dados de localização precisos e gravações de som durante chamadas VoIP.
A versão mais recente descoberta pela empresa canadense de segurança cibernética expande ainda mais suas capacidades de roubar arquivos e dados de aplicativos populares como Telegram, QQ e WeChat, dados do iCloud Keychain e histórico do navegador Safari e Google Chrome.
A complexa estrutura de espionagem também apresenta recursos para reunir uma lista de redes Wi-Fi conectadas, detalhes sobre aplicativos instalados, tirar fotos usando a câmera do dispositivo, gravar áudio e executar comandos shell recebidos do servidor, provavelmente permitindo que ele sequestre o controle do dispositivos infectados.
“LightSpy emprega fixação de certificado para evitar detecção e interceptação de comunicação com seu servidor de comando e controle (C2)”, disse Blackberry. “Assim, se a vítima estiver em uma rede onde o tráfego está sendo analisado, nenhuma conexão com o servidor C2 será estabelecida”.
Um exame mais aprofundado do código-fonte do implante sugere o envolvimento de falantes nativos de chinês, levantando a possibilidade de atividade patrocinada pelo Estado. Além do mais, LightSpy se comunica com um servidor localizado em 103.27(.)109(.)217, que também hospeda um painel de administrador que exibe uma mensagem de erro em chinês ao inserir credenciais de login incorretas.
O desenvolvimento ocorre no momento em que a Apple afirma ter enviado notificações de ameaças a usuários em 92 países, incluindo a Índia, de que eles podem ter sido alvo de ataques de spyware and adware mercenário.
“O retorno do LightSpy, agora equipado com a versátil estrutura ‘F_Warehouse’, sinaliza uma escalada nas ameaças de espionagem móvel”, disse BlackBerry.
“As capacidades expandidas do malware, incluindo extensa exfiltração de dados, vigilância de áudio e potencial controle whole do dispositivo, representam um grave risco para indivíduos e organizações visadas no sul da Ásia”.
