El software espía LightSpy para iOS vinculado a China apunta a usuarios de iPhone del sur de Asia

15 de abril de 2024EscribiendoSoftware espía/seguridad móvil

Investigadores de ciberseguridad han descubierto una campaña de ciberespionaje «renovada» dirigida a usuarios del sur de Asia con el objetivo de entregar un implante de software espía para Apple iOS llamado Espía ligero.

«La última versión de LightSpy, denominada «F_Warehouse», se beneficia de un marco modular con amplias capacidades de espionaje», dijo el equipo de Inteligencia y Investigación de Amenazas de BlackBerry. dicho en un informe publicado la semana pasada.

Hay pruebas que sugieren que la campaña puede haberse dirigido a la India basándose en VirusTotal presentaciones desde dentro de sus fronteras.

LightSpy, documentado por primera vez en 2020 por Trend Micro y Kaspersky, se refiere a una puerta trasera avanzada de iOS distribuida a través de ataques de abrevadero a través de sitios de noticias comprometidos.

Un análisis posterior realizado por ThreatFabric en octubre de 2023 reveló superposiciones de infraestructura y funcionalidad entre el malware y el software espía de Android conocido como DragonEgg, atribuido al grupo de estado-nación chino APT41 (también conocido como Winnti).

El vector de intrusión inicial se desconoce en este momento, aunque se sospecha que proviene de sitios de noticias que han sido pirateados y que se sabe que son visitados regularmente por los objetivos.

El punto de partida es un cargador de primera etapa que actúa como plataforma de lanzamiento para la puerta trasera principal LightSpy y sus diversos complementos que se obtienen de un servidor remoto para realizar funciones de recopilación de datos.

LightSpy es integral y modular, lo que permite a los delincuentes recopilar información confidencial, incluidos contactos, mensajes SMS, datos de ubicación precisos y grabaciones de sonido durante llamadas VoIP.

La última versión descubierta por la empresa canadiense de ciberseguridad amplía aún más sus capacidades para robar archivos y datos de aplicaciones populares como Telegram, QQ y WeChat, datos del llavero de iCloud e historial del navegador web de Safari y Google Chromium.

El complejo marco de espionaje también ofrece capacidades para recopilar una lista de redes Wi-Fi conectadas, detalles sobre aplicaciones instaladas, tomar fotografías con la cámara del dispositivo, grabar audio y ejecutar comandos de shell recibidos del servidor, lo que probablemente le permita secuestrar el control del sistema. . dispositivos infectados.

«LightSpy utiliza la fijación de certificados para evitar la detección e interceptación de comunicaciones con su servidor de comando y control (C2)», dijo Blackberry. «Entonces, si la víctima está en una red donde se analiza el tráfico, no se establecerá ninguna conexión con el servidor C2».

Un examen más detenido del código fuente del implante sugiere la participación de hablantes nativos de chino, lo que plantea la posibilidad de una actividad patrocinada por el estado. Además, LightSpy se comunica con un servidor ubicado en 103.27[.]109[.]217, que también alberga un panel de administración que muestra un mensaje de error en chino al ingresar información de inicio de sesión incorrecta.

El desarrollo se produce cuando Apple dijo que había enviado notificaciones de amenazas a usuarios en 92 países, incluida la India, lo que indica que pueden haber sido blanco de ataques de software espía mercenario.

«El regreso de LightSpy, ahora impulsado por el versátil marco 'F_Warehouse', señala una escalada de amenazas de espionaje móvil», dijo BlackBerry.

“Las amplias capacidades del malware, incluida la extensa exfiltración de datos, la vigilancia de audio y el posible control completo de los dispositivos, plantean un grave riesgo para las personas y organizaciones objetivo en el sur de Asia. »