Istraživači cyber sigurnosti otkrili su ažuriranu verziju LightSpy implanta koja dolazi s proširenim skupom funkcija za prikupljanje podataka, uključujući izvlačenje informacija s društvenih mreža poput Facebooka i Instagrama.
LightSpy je modularni špijunski softver sposoban za inficiranje kako Windows tako i Apple sistema s ciljem prikupljanja podataka. Prvi put je dokumentovan 2020. godine, kada je bio usmjeren na korisnike u Hong Kongu.
Među podacima koje prikuplja su informacije o Wi-Fi mrežama, snimci ekrana, lokacija, iCloud Keychain, audio snimci, fotografije, historija pretraživanja, kontakti, historija poziva i SMS poruke. Takođe cilja podatke iz raznih aplikacija, uključujući Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat i WhatsApp.
Krajem prošle godine, ThreatFabric je detaljno opisao ažuriranu verziju malvera koja uključuje destruktivne funkcije kako bi spriječila pokretanje kompromitovanog uređaja. Takođe, broj podržanih dodataka povećan je s 12 na 28.
Ranija istraživanja su otkrila moguće poveznice između LightSpy-a i Android malvera pod nazivom DragonEgg, što naglašava njegovu multiplatformsku prirodu.
Prema najnovijoj analizi kompanije Hunt.io, maliciozna infrastruktura za komandu i kontrolu (C2) LightSpy-a sada podržava više od 100 komandi koje pokrivaju Android, iOS, Windows, macOS, rutere i Linux.
“Novi popis komandi preusmjerava fokus s direktnog prikupljanja podataka na širu operativnu kontrolu, uključujući upravljanje prenosom i praćenje verzija dodataka ,” navodi kompanija.
“Ove promjene sugerišu fleksibilniji i prilagodljiviji okvir, omogućavajući operaterima LightSpy-a da efikasnije upravljaju implementacijama na više platformi.”
Među novim komandama ističe se mogućnost ciljanja baza podataka aplikacija Facebook i Instagram na Android uređajima radi izvlačenja podataka. Zanimljivo je da su napadači uklonili iOS dodatke povezane s destruktivnim akcijama na zaraženim uređajima.
Otkriveno je i 15 dodataka specifičnih za Windows, dizajniranih za nadzor sistema i prikupljanje podataka, pri čemu se većina fokusira na keylogging, audio snimanje i interakciju s USB uređajima.
Firma za analizu prijetnji takođe je otkrila endpoint (“/phone/phoneinfo”) u administrativnom panelu, koji omogućava prijavljenim korisnicima daljinsku kontrolu nad inficiranim mobilnim uređajima. Još uvijek nije poznato predstavljaju li ovi nalazi nove funkcionalnosti ili ranije nedokumentovane verzije malvera.
“Pomak sa ciljanja aplikacija za razmjenu poruka na Facebook i Instagram proširuje LightSpy-ovu sposobnost prikupljanja privatnih poruka, listi kontakata i metapodataka naloga s popularnih društvenih mreža,” navodi Hunt.io.
“Izvlačenje ovih baza podataka može napadačima omogućiti pristup sačuvanim razgovorima, vezama korisnika i potencijalno podacima vezanim za sesije, povećavajući mogućnosti nadzora i daljnje eksploatacije.”
Nova Android prijetnja: SpyLend se krije iza aplikacije za finansije
Otkrivanje ovih prijetnji dolazi u trenutku kada je kompanija Cyfirma objavila detalje o novom Android malveru nazvanom SpyLend, koji se maskira kao finansijska aplikacija pod imenom Finance Simplified (APK naziv: “com.someca.count”) na Google Play Store-u. Ovaj malver cilja korisnike u Indiji kroz predatorsko kreditiranje, ucjenu i iznudu.
“Korištenjem ciljanog napada baziranog na lokaciji, aplikacija prikazuje popis neautorizovanih kreditnih aplikacija koje funkcionišu u potpunosti unutar WebView-a, omogućavajući napadačima da zaobiđu nadzor Play Store-a,” saopštila je kompanija.
“Nakon instalacije, ove aplikacije prikupljaju osjetljive korisničke podatke, nameću eksploatativne kreditne uslove i koriste ucjenu za iznudu novca.”
Među oglašavanim kreditnim aplikacijama su KreditPro (ranije KreditApple), MoneyAPE, StashFur, Fairbalance i PokketMe. Korisnicima koji instaliraju Finance Simplified izvan Indije prikazuje se bezopasna verzija aplikacije s kalkulatorima za lične finansije, računovodstvo i poreze, što sugeriše da je kampanja usmjerena isključivo na korisnike u Indiji.
Aplikacija više nije dostupna na zvaničnom Android tržištu. Prema podacima s Sensor Tower-a, objavljena je sredinom decembra 2024. godine i imala je više od 100.000 instalacija.
“U početku predstavljena kao bezopasna aplikacija za upravljanje finansijama, ona zapravo preuzima prevarantsku kreditnu aplikaciju s vanjskog URL-a za preuzimanje. Nakon instalacije, ova aplikacija dobija široka dopuštenja za pristup osjetljivim podacima, uključujući fajlove, kontakte, zapise poziva, SMS poruke, sadržaj clipboard-a, pa čak i kameru,” upozorava Cyfirma.
FinStealer cilja korisnike indijskih banaka
Indijski korisnici maloprodajnih banaka također su na meti druge kampanje koja širi malver pod nazivom FinStealer. Ovaj malver se predstavlja kao legitimna aplikacija banke, ali je dizajniran za krađu podataka za prijavu i omogućavanje finansijskih prevara putem neovlaštenih transakcija.
“Distribuira se putem phishing linkova i socijalnog inženjeringa. Ove lažne aplikacije vjerno imitiraju legitimne bankovne aplikacije, varajući korisnike da otkriju pristupne podatke, finansijske informacije i lične detalje,” navodi kompanija.
“Koristeći Telegram botove, malver može primati instrukcije i slati ukradene podatke bez izazivanja sumnje, što otežava sigurnosnim sistemima da otkriju i blokiraju komunikaciju.”
Izvor:The Hacker News
