Hong Kong’daki iOS kullanıcılarına karşı gerçekleştirilen bir sulama deliği saldırısından sorumlu olan LightSpy kötü amaçlı yazılımının, mobil kullanıcılara saldırmak için Android implant Core ve 20 aktif sunucudaki 14 ilgili eklentisine gömülü olduğu keşfedildi.
LightSpy, mobil kullanıcılara saldırmak için yeni ve gelişmiş teknikler kullanan bir Mobil Gelişmiş Kalıcı Tehdittir (mAPT). Bu kötü amaçlı yazılımın devlet destekli APT41 grubuna atfedildiği doğrulandı.
Son raporlar, kötü amaçlı yazılımın ödeme verilerine erişmek, özel iletişimleri izlemek ve çeşitli kötü amaçlı faaliyetler gerçekleştirmek için WeChat ödeme sistemlerini kullandığını gösteriyor.
LightSpy APT WeChat Kullanıcılarına Saldırıyor
Cyber Security News ile paylaşılan raporlara göre LightSpy kötü amaçlı yazılımının, özel ve ödeme verilerinin sızdırılması için çeşitli eklentiler kullandığı tespit edilen tam özellikli modüler bir gözetim araç seti olduğu ortaya çıktı. Ek olarak, kötü amaçlı yazılım büyük ölçüde kurbanın özel bilgilerine odaklanıyor.
Özellikleri arasında, arka uç altyapısını kullanarak WeChat Pay’den ödeme verilerinin sızdırılması ve mağdurların VOIP konuşmalarını kaydetmek için WeChat’ten ses ile ilgili işlevler elde edilmesi yer alıyor.
Ancak bu kötü amaçlı yazılım, aynı zamanda bir eklenti olduğundan bağımsız bir uygulama olarak çalışamaz. Üstelik kötü amaçlı yazılımın çekirdeği, saldırı zincirinin tamamı için gereken tüm işlevleri yerine getirmekten sorumludur.
Temel işlevler arasında cihaz parmak izi toplama, sunucu bağlantısının kurulmasını kontrol etme, sunucudan komutları alma ve kendini güncelleme ve eklenti olarak da adlandırılan ek yük dosyaları yer alır.
LightSpy’ın 14 Eklentisi
Kötü amaçlı yazılıma; yumuşak liste, temel bilgi, fatura, kamera modülü, sohbet dosyası, dosya yöneticisi, konum modülü, konumBaidu, qq, kabuk, ses kaydı, telgraf, wechat ve wifi içeren birden fazla eklenti eklendi.
| EKLENTİ | VERSİYON | KISA AÇIKLAMA |
| yumuşak liste | 3.3.3 | Araç kutusu/oyuncak kutusu yardımcı programını ve süper kullanıcı erişimini kullanarak yüklü/çalışan uygulamaların ve etkin kullanıcı adlarının listesini dışarı çıkarır |
| temel bilgi | 2.3.4 | Kişi listesini, çağrı geçmişini ve SMS mesajlarını süzer. Komutla SMS mesajları gönderebilir ve silebilir |
| fatura | 1.2.18 | Ödeme geçmişini WeChat Pay’den sızdırıyor |
| kamera modülü | 2.6.1 | Kamera çekimleri yapıyor. Tek çekim, sürekli çekim veya olayla ilgili bazı çekimler (örneğin telefon görüşmesi) yapılabilir |
| sohbet dosyası | 1.3.4 | Farklı mesajlaşma programlarının klasörlerindeki verileri sızdırır |
| dosya yöneticisi | 3.0.5 | Dosya filtreleme eklentisi |
| konum modülü | 2.6.5 | Hassas konum izleme eklentisi |
| konumBaidu | 2.6.6 | Farklı çerçeveler ve Android yerel API’leri kullanan başka bir konum izleme eklentisi |
| 5.1.71 | Tencent QQ messenger veritabanı ayrıştırma ve dışarı çıkarma eklentisi | |
| kabuk | 2.2.4 | Uzak kabuk eklentisi |
| ses kaydı | 2.7.4 | Ses kayıt eklentisi: ortam, çağrılar, VOIP çağrıları ses sızıntısı |
| telgraf | 7.3.221 | Telegram messenger veri sızdırma eklentisi |
| 6.7.271 | WeChat veri sızdırma eklentisi | |
| Wifi | 2.3.3 | Wi-Fi ağı veri sızdırma eklentisi |
Kaynak: ThreatFabric
En önemli eklentilerden biri, raporda da belirtildiği gibi, konum takibinden sorumlu olan, mevcut konumun anlık görüntüsünü gönderebilen veya belirli zaman aralıklarıyla konum takibi kurabilen konum modülü eklentisiydi. Bu eklenti iki konum izleme çerçevesine dayanmaktadır: Tencent konum SDK’sı ve Baidu konum SDK’sı.
Bir diğer önemli eklenti ise ses kaydından sorumlu olan Soundrecord eklentisiydi. Bu eklenti aynı zamanda mikrofon kaydını anında veya belirli aralıklarla başlatabilir. Üstelik bu eklenti gelen telefon görüşmelerini de kaydedebiliyor.
Fatura eklentisi, WeChat Pay’den (Çin’de Weixin Pay) kurbanın ödeme geçmişi hakkında bilgi toplamaktan sorumlu olan ve işlenen ödemenin son fatura kimliğini, fatura türünü, işlem kimliğini, tarihini ve bayrağını içeren bir diğer önemli eklentidir. .
| ANDROID EKLENTİ SETİ | IOS EKLENTİ SETİ |
| temel bilgi | baseinfoaaa.dylib |
| dosya yöneticisi | DosyaYönet |
| ios_qq | |
| telgraf | ios_telegram |
| ios_wechat | |
| kabuk | Kabuk Komutaaaa |
| yumuşak liste | SoftInfoaaa |
| Wifi | WifiListesi |
| konum modülü | konumaaa.dylib |
| konumBaidu | Yok |
| ses kaydı | Çevresel Kayıt |
| fatura | ışık |
| kamera modülü | Ekranaaa |
| sohbet dosyası | lansmanctl |
| Yok | irc_loader |
| Yok | ircbin.plist |
| Yok | Anahtarlık |
| Yok | tarayıcı |
iOS ve Android komutları arasındaki ilişki (Kaynak: ThreatFabric)
ThreatFabric tarafından LightSpy hakkında tehdit vektörü, kaynak kodu, analiz ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
Kontrol sunucuları:
ALANLAR
uzayskd[.]iletişim
IP’ler
103.27.108[.]207
46.17.43[.]74
Dosya karmaları:
İkinci aşama yükü (smalmload.jar)
SHA256
407abddf78d0b802dd0b8e733aee3eb2a51f7ae116ae9428d554313f12108a4c
bd6ec04d41a5da66d23533e586c939eece483e9b105bd378053e6073df50ba99
Çekirdek
| SHA256 | VERSİYON |
| 68252b005bbd70e30f3bb4ca816ed09b87778b5ba1207de0abe41c24ce644541 | 6.5.24 |
| 5f93a19988cd87775ad0822a35da98d1abcc36142fd63f140d488b30045bdc00 | 6.5.24 |
| bdcc5fc529e12ecb465088b0a975bd3a97c29791b4e55ee3023fa4f6db1669dc | 6.5.25 |
| 9da5c381c28e0b2c0c0ff9a6ffcd9208f060537c3b6c1a086abe2903e85f6fdd | 6.2.1 |
| a01896bf0c39189bdb24f64a50a9c608039a50b068a41ebf2d49868cc709cdd3 | 6.5.19 |
| 77f0fc4271b1b9a42cd6949d3a6060d912b6b53266e9af96581a2e78d7beb87b | 6.2.0 |
| d640ad3e0a224536e58d771fe907a37be1a90ad26bf0dc77d7df86d7a6f7ca0e | 6.2.1 |
| 3849adc161d699edaca161d5b6335dfb7e50050566799907618d5e74b9f78792f | 6.2.6 |
| 2282c6caef2dd5accc1166615684ef2345cf7615fe27bea97944445ac48d5ce4 | 5.2.1 |
Eklentiler
| Eklenti adı | SHA256 |
| yumuşak liste | 7d17cdc012f3c2067330fb200811a7a300359c2ad89cdcf1092491fbf5a5a112 |
| temel bilgi | cc6a95d3e01312ca57304dc8cd966d461ef3195aab30c325bee8e5b39b78ae89 |
| fatura | c6ccd599c6122b894839e12d080062de0fa59c4cd854b255e088d22e11433ef6 |
| kamera modülü | bace120bf24d8c6cfbb2c8bfeed1365112297740e2a71a02ea2877f5ffc6b325 |
| sohbet dosyası | 7d8a08af719f87425d1643d59979d4a3ef86a5fc81d1f06cfa2fd8c18aeb766b |
| dosya yöneticisi | e5bdeedac2c5a3e53c1fdc07d652c5d7c9b346bcf86fc7184c88603ff2180546 |
| konum modülü | bf338e548c26f3001f8ad2739e2978586f757777f902e5c4ab471467fd6d1c04 |
| konumBaidu | 177e52c37a4ff83cd2e5a24ff87870b3e82911436a33290135f49356b8ee0eb1 |
| f32fa0db00388ce4fed4e829b17e0b06ae63dc0d0fac3f457b0f4915608ac3b5 | |
| kabuk | e1152fe2c3f4573f9b27ca6da4c72ee84029b437747ef3091faa5a4a4b9296be |
| ses kaydı | c0c7b902a30e5a3a788f3ba85217250735aaaf125a152a32ee603469e2dfb39e |
| telgraf | 71d676480ec51c7e09d9c0f2accb1bdce34e16e929625c2c8a0483b9629a1486 |
| bcb31d308ba9d6a8dbaf8b538cee4085d3ef37c5cb19bf7e7bed3728cb132ec1 | |
| Wifi | 446506fa7f7dc66568af4ab03e273ff25ee1dc59d0440086c1075d030fe72b11 |
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.