DragonEgg и LightSpy: дуэт шпионских ПО атакует сразу две операционные системы

Исследователи выявили связь между DragonEgg, шпионским ПО для Android , и LightSpy модульным инструментом для слежки в системе iOS .

Первые данные о DragonEgg, которое связывают с китайской группой APT41, представила компания Lookout в июле 2023 года. Примерно в это же время был обнаружен WyrmSpy — еще один шпионский софт, также известный как AndroidControl.

О LightSpy кибербезопасное сообщество узнало еще в марте 2020 года в рамках кампании «Operation Poisoned News». Тогда жертвами атак стали пользователи iPhone в Гонконге.

Тактику хакеров описали исследователи мобильной безопасности из голландской фирмы ThreatFabric . Сначала пользователь должен установить на свое устройство троянизированную версию Telegram . Она предназначена для загрузки вторичного вредоносного кода (smallmload.jar), который в свою очередь активирует еще один компонент под названием Core.

Анализ показал, что LightSpy регулярно обновлялось начиная с 11 декабря 2018 года, причем последнее обновление было отмечено 13 июля 2023 года.

Основной модуль LightSpy (вероятно, DragonEgg) отвечает за координацию процессов. В его задачи входят: сбор информации об устройстве, установка связи с удаленным сервером, ожидание дальнейших директив и самообновление. Программа обрабатывает команды через WebSocket и передает данные через HTTPS.

Было обнаружены еще несколько модулей. Например, инструменты для отслеживания геолокации устройства, записи окружающих звуков и разговоров в WeChat, а также функция, которая собирает историю платежей через WeChat Pay.

Серверы управления и контроля LightSpy находятся в разных регионах: Китае, Гонконге, Тайване и Сингапуре. При этом, интересно, что LightSpy и WyrmSpy используют одну и ту же инфраструктуру.

На одном из серверов нашли 13 уникальных номеров, принадлежащих китайским мобильным операторам. Исследователи сделали вывод, что это либо тестовые номера разработчиков LightSpy, либо телефоны их жертв.

Сходство между DragonEgg и LightSpy – в их конфигурациях, структуре выполнения и способах связи с серверами. Как именно они связаны между собой – пока неясно.