Investigadores de ciberseguridad han descubierto una campaña de ciberespionaje «renovada» dirigida a usuarios del sur de Asia con el objetivo de entregar un implante de software espía para Apple iOS llamado Espía ligera.
«La última versión de LightSpy, denominada ‘F_Warehouse’, cuenta con un marco modular con amplias funciones de espionaje», dijo el equipo de inteligencia y investigación de amenazas de BlackBerry. dicho en un informe publicado la semana pasada.
Hay pruebas que sugieren que la campaña puede haberse dirigido a la India basándose en VirusTotal presentaciones desde dentro de sus fronteras.
Documentado por primera vez en 2020 por Trend Micro y Kaspersky, Espía ligera se refiere a una puerta trasera avanzada de iOS que se distribuye a través de ataques de abrevadero a través de sitios de noticias comprometidos.
Un análisis posterior de ThreatFabric en octubre de 2023 descubierto La infraestructura y la funcionalidad se superponen entre el malware y un software espía de Android conocido como DragonEgg, que se atribuye al grupo de estado-nación chino APT41 (también conocido como Winnti).
Actualmente se desconoce el vector de intrusión inicial, aunque se sospecha que se trata de sitios web de noticias que han sido vulnerados y que se sabe que son visitados por los objetivos de forma regular.
El punto de partida es un cargador de primera etapa que actúa como plataforma de lanzamiento para la puerta trasera principal de LightSpy y sus complementos variados que se recuperan de un servidor remoto para realizar las funciones de recopilación de datos.
LightSpy tiene todas las funciones y es modular, lo que permite a los actores de amenazas recopilar información confidencial, incluidos contactos, mensajes SMS, datos de ubicación precisos y grabaciones de sonido durante llamadas VoIP.
La última versión descubierta por la firma canadiense de ciberseguridad amplía aún más sus capacidades para robar archivos y datos de aplicaciones populares como Telegram, QQ y WeChat, datos de iCloud Keychain e historial del navegador web de Safari y Google Chrome.
El complejo marco de espionaje también presenta capacidades para recopilar una lista de redes Wi-Fi conectadas, detalles sobre aplicaciones instaladas, tomar fotografías usando la cámara del dispositivo, grabar audio y ejecutar comandos de shell recibidos del servidor, lo que probablemente le permita secuestrar el control de la red. dispositivos infectados.
«LightSpy emplea fijación de certificados para evitar la detección e interceptación de la comunicación con su servidor de comando y control (C2)», dijo Blackberry. «Por lo tanto, si la víctima está en una red donde se analiza el tráfico, no se establecerá ninguna conexión con el servidor C2».
Un examen más detenido del código fuente del implante sugiere la participación de hablantes nativos de chino, lo que plantea la posibilidad de una actividad patrocinada por el estado. Además, LightSpy se comunica con un servidor ubicado en 103.27[.]109[.]217, que también alberga un panel de administrador que muestra un mensaje de error en chino al ingresar credenciales de inicio de sesión incorrectas.
El desarrollo llega como Apple. dicho envió notificaciones de amenazas a usuarios en 92 países, contando a la India, que podrían haber sido blanco de ataques de software espía mercenario.
«El regreso de LightSpy, ahora equipado con el versátil marco ‘F_Warehouse’, indica una escalada en las amenazas de espionaje móvil», dijo BlackBerry.
«Las capacidades ampliadas del malware, incluida la extensa exfiltración de datos, la vigilancia de audio y el posible control total del dispositivo, plantean un grave riesgo para las personas y organizaciones objetivo en el sur de Asia».
