Cybersecurity-onderzoekers hebben een ‘vernieuwde’ cyberspionagecampagne ontdekt die zich richt op gebruikers in Zuid-Azië met als doel een Apple iOS-spyware-implantaat te leveren, genaamd LichtSpy.
“De nieuwste versie van LightSpy, genaamd 'F_Warehouse', beschikt over een modulair raamwerk met uitgebreide spionagefuncties”, aldus het BlackBerry Threat Research and Intelligence Team in een vorige week gepubliceerd rapport.
Er zijn aanwijzingen dat de campagne zich mogelijk op India had gericht op basis van inzendingen van VirusTotal van binnen zijn grenzen.
LightSpy, voor het eerst gedocumenteerd in 2020 door Trend Micro en Kaspersky, verwijst naar een geavanceerde iOS-achterdeur die wordt verspreid via watering hole-aanvallen via gecompromitteerde nieuwssites.
Een daaropvolgende analyse van ThreatFabric in oktober 2023 bracht overlappingen in infrastructuur en functionaliteit aan het licht tussen de malware en een Android-spyware bekend als DragonEgg, die wordt toegeschreven aan de Chinese natiestaatgroep APT41 (ook bekend als Winnti).
De initiële indringingsvector is momenteel niet bekend, hoewel vermoed wordt dat deze plaatsvindt via nieuwswebsites die zijn gehackt en waarvan bekend is dat ze regelmatig door de doelwitten worden bezocht.
Het startpunt is een eerste fase lader die fungeert als startpunt voor de kern LightSpy-achterdeur en de bijbehorende plug-ins die worden opgehaald van een externe server om de functies voor het verzamelen van gegevens uit te voeren.
LightSpy is zowel volledig uitgerust als modulair, waardoor bedreigingsactoren gevoelige informatie kunnen verzamelen, waaronder contacten, sms-berichten, nauwkeurige locatiegegevens en geluidsopnamen tijdens VoIP-gesprekken.
De nieuwste versie die door het Canadese cyberbeveiligingsbedrijf is ontdekt, breidt zijn mogelijkheden verder uit om bestanden en gegevens van populaire apps zoals Telegram, QQ en WeChat, iCloud-sleutelhangergegevens en webbrowsergeschiedenis van Safari en Google Chrome te stelen.
Het complexe spionageframework biedt ook mogelijkheden om een lijst met verbonden Wi-Fi-netwerken en details over geïnstalleerde apps te verzamelen, foto's te maken met de camera van het apparaat, audio op te nemen en shell-opdrachten uit te voeren die zijn ontvangen van de server, waardoor deze waarschijnlijk de controle over het apparaat kan kapen. geïnfecteerde apparaten.
“LightSpy maakt gebruik van certificaatpinning om detectie en onderschepping van communicatie met zijn command-and-control (C2) server te voorkomen”, aldus Blackberry. “Als het slachtoffer zich dus op een netwerk bevindt waar het verkeer wordt geanalyseerd, wordt er geen verbinding met de C2-server tot stand gebracht.”
Een verder onderzoek van de broncode van het implantaat wijst op de betrokkenheid van moedertaalsprekers van het Chinees, wat de mogelijkheid van door de staat gesponsorde activiteiten vergroot. Bovendien communiceert LightSpy met een server op 103.27[.]109[.]217, dat ook een beheerderspaneel herbergt dat een foutmelding in het Chinees weergeeft bij het invoeren van onjuiste inloggegevens.
De ontwikkeling komt op het moment dat Apple zei dat het dreigingsmeldingen naar gebruikers in 92 landen, inclusief India, heeft gestuurd dat ze mogelijk het doelwit waren van spyware-aanvallen van huurlingen.
“De terugkeer van LightSpy, nu uitgerust met het veelzijdige 'F_Warehouse'-framework, duidt op een escalatie van mobiele spionagebedreigingen”, aldus BlackBerry.
“De uitgebreide mogelijkheden van de malware, waaronder uitgebreide data-exfiltratie, audiobewaking en potentiële volledige apparaatcontrole, vormen een ernstig risico voor beoogde individuen en organisaties in Zuid-Azië.”
