Yeni bulgular, DragonEgg adlı bir Android casus yazılımı ile DragonEgg adlı başka bir gelişmiş modüler iOS gözetleme yazılımı aracı arasındaki bağlantıları belirledi. LightSpy.
Ejderha Yumurtasıyanında WyrmSpy (diğer adıyla AndroidControl), ilk olarak Temmuz 2023’te Lookout tarafından Android cihazlardan hassas veriler toplayabilen bir kötü amaçlı yazılım türü olarak açıklandı. Bu, Çin ulus devlet grubu APT41’e atfedildi.
Öte yandan LightSpy ile ilgili ayrıntılar Mart 2020’de, Hong Kong’daki Apple iPhone kullanıcılarının casus yazılımı yüklemek için sulama deliği saldırılarıyla hedef alındığı Zehirli Haber Operasyonu adlı kampanya kapsamında gün ışığına çıktı.
Şimdi, Hollandalı mobil güvenlik firması ThreatFabric’e göre, saldırı zincirleri, ikinci aşama bir yükü (smallmload.jar) indirmek için tasarlanmış, truva atı haline getirilmiş bir Telegram uygulamasının kullanımını içeriyor ve bu da Core kod adlı üçüncü bir bileşeni indirecek şekilde yapılandırılmış. .
Eserlerin daha ayrıntılı analizi, implantın en az 11 Aralık 2018’den bu yana aktif olarak bakımının yapıldığını ve en son sürümün 13 Temmuz 2023’te yayınlandığını ortaya çıkardı.
LightSpy’ın çekirdek modülü (yani DragonEgg), cihazın parmak izini toplamaktan, uzak bir sunucuyla iletişim kurmaktan, daha fazla talimat beklemekten ve eklentilerin yanı sıra kendisini güncellemekten sorumlu bir orkestratör eklentisi olarak işlev görür.
ThreatFabric, “LightSpy Core, konfigürasyon açısından son derece esnektir: operatörler, güncellenebilir konfigürasyonu kullanarak casus yazılımı hassas bir şekilde kontrol edebilirler” dedi ve komut dağıtımı için WebSocket’in ve veri sızdırma için HTTPS’nin kullanıldığını belirtti.
Dikkate değer eklentilerden bazıları, kurbanların kesin konumlarını izleyen bir konum modülünü, WeChat VOIP sesli konuşmalarının yanı sıra ortam sesini de yakalayabilen ses kaydını ve WeChat Pay’den ödeme geçmişini toplayan bir fatura modülünü içeriyor.
LightSpy’ın komuta ve kontrolü (C2), Çin Anakarası, Hong Kong, Tayvan, Singapur ve Rusya’da bulunan ve kötü amaçlı yazılım ve WyrmSpy’ın aynı altyapıyı paylaştığı çeşitli sunuculardan oluşur.
ThreatFabric aynı zamanda Çinli cep telefonu operatörlerine ait 13 benzersiz telefon numarasından verileri barındıran bir sunucunun da tespit edildiğini ve verilerin LightSpy geliştiricilerinin veya kurbanlarının test numaralarını temsil etme olasılığını artırdığını söyledi.
DragonEgg ve LightSpy arasındaki bağlantılar, yapılandırma kalıpları, çalışma zamanı yapısı ve eklentileri ile C2 iletişim formatındaki benzerliklerden kaynaklanmaktadır.
Şirket, “Tehdit aktörü grubunun popüler mesajlaşma programındaki ilk kötü niyetli aşamayı dağıtma şekli akıllıca bir hileydi” dedi.
“Bunun birçok faydası vardı: İmplant, taşıyıcı uygulamanın sahip olduğu tüm erişim izinlerini devraldı. Messenger söz konusu olduğunda, kamera ve depolama erişimi gibi pek çok özel izin mevcuttu.”