Los investigadores de ciberseguridad han impresionado una interpretación actualizada del implante Lightspy que viene equipado con un conjunto ampliado de características de compilación de datos para extraer información de plataformas de redes sociales como Facebook e Instagram.
LightSpy es el nombre legado a un spyware modular que es capaz de infectar los sistemas de Windows y Apple con el objetivo de cosechar datos. Fue documentado por primera vez en 2020, dirigido a los usuarios en Hong Kong.
Esto incluye información de red Wi-Fi, capturas de pantalla, ubicación, argolla iCloud, grabaciones de sonido, fotos, historial de navegadores, contactos, historial de llamadas y mensajes SMS, y datos de varias aplicaciones como archivos, lista, perito de correo, telegrama, tencent QQ, WeChat y WhatsApp.
A fines del año pasado, Deniquefabric detalló una interpretación actualizada del malware que incorpora capacidades destructivas para evitar que el dispositivo comprometido se inicie, adyacente con la expansión del número de complementos compatibles de 12 a 28.
Los hallazgos anteriores además han descubierto posibles superposiciones entre LightSpy y un malware Android llamado Dragonegg, destacando la naturaleza multiplataforma de la amenaza.
El postrer disección de Hunt.io de la infraestructura maliciosa de comando y control (C2) asociada con el spyware ha descubierto soporte para más de 100 comandos que abarcan Android, iOS, Windows, MacOS, Routers y Linux.
“La nueva índice de comandos cambia el enfoque de la compilación de datos directos a un control eficaz más amplio, incluida la delegación de transmisión (‘Control de transporte) y el seguimiento de la interpretación del complemento (‘ Detalles de la interpretación del complemento de carga ‘)”, dijo la compañía.
“Estas adiciones sugieren un entorno más flexible y adaptable, lo que permite a los operadores de LightSpy llevar la batuta las implementaciones de guisa más competente en múltiples plataformas”.
Entre los nuevos comandos es la capacidad de dirigirse a archivos de saco de datos de aplicaciones de Facebook e Instagram para la procedencia de datos de los dispositivos Android. Pero en un construcción interesante, los actores de amenaza han eliminado los complementos de iOS asociados con acciones destructivas en el hospedador de la víctima.
Asimismo se descubren 15 complementos específicos de Windows diseñados para la vigilancia del sistema y la compilación de datos, con la mayoría de ellos orientados con destino a el keylogging, la cinta de audio y la interacción USB.
La firma de inteligencia de amenazas dijo que además descubrió un punto final (“/teléfono/phoneininfo”) en el panel de delegación que otorga a los usuarios iniciadores la capacidad de controlar de forma remota los dispositivos móviles infectados. Actualmente no se sabe si estos representan nuevos desarrollos o versiones anteriores previamente indocumentadas.
“El cambio de las aplicaciones de correo de orientación a Facebook e Instagram expande la capacidad de Lightspy para compilar mensajes privados, listas de contactos y metadatos de cuenta de plataformas sociales ampliamente utilizadas”, dijo Hunt.io.
“Extraer estos archivos de saco de datos podría proporcionar a los atacantes conversaciones almacenadas, conexiones de beneficiario y datos potencialmente relacionados con la sesión, aumentando las capacidades de vigilancia y las oportunidades para una veterano explotación”.
La divulgación se produce cuando Cyfirma reveló los detalles de un malware de Android denominado Spylend que se disfraza de una aplicación financiera indicación Finance Simplified (nombre APK “com.someca.count”) en Google Play Store pero se involucra en préstamos predatorios, chantajías y trastorno dirigida Usuarios indios.
“Al explotar la orientación basada en la ubicación, la aplicación muestra una índice de aplicaciones de préstamos no autorizadas que operan completamente internamente de WebView, lo que permite a los atacantes evitar el investigación de las tiendas”, dijo la compañía.
“Una vez instalado, estas aplicaciones de préstamos cosechan datos del beneficiario confidencial, hacen cumplir las prácticas de préstamo de explotación y emplean tácticas de chantaje para perjudicar el metálico”.
Algunas de las aplicaciones de préstamos anunciadas son KreditPro (anteriormente Kreditapple), Moneyape, Stashfur, Fairbalance y Pokketme. Los usuarios que instalan financiamiento simplificados desde fuera de la India reciben una visión web inofensiva que enumera a varias calculadoras para finanzas personales, contabilidad e impuestos, lo que sugiere que la campaña está diseñada para dirigirse específicamente a los usuarios indios.
La aplicación ya no está acondicionado para descargar desde el mercado oficial de aplicaciones de Android. Según las estadísticas disponibles en Sensor Tower, la aplicación se publicó a mediados de diciembre de 2024 y atrajo más de 100,000 instalaciones.
“Inicialmente presentada como una aplicación inofensiva de mandato de finanzas, descarga una aplicación de préstamo de fraude de una URL de descarga externa, que una vez instalada, obtiene permisos extensos para aceptar a datos confidenciales, incluidos archivos, contactos, registros de llamadas, SMS, contenido de portapapeles e incluso el Cámara “, señaló Cyfirma.
Los clientes de la banca minorista india además se han convertido en el objetivo de otra campaña que distribuye un llamado FinSealer con nombre en código de malware que se hace acontecer por aplicaciones bancarias legítimas, pero está diseñado para cosechar credenciales de inicio de sesión y simplificar el fraude financiero realizando transacciones no autorizadas.
“Distribuido a través de enlaces de phishing e ingeniería social, estas aplicaciones falsas imitan de cerca las aplicaciones bancarias legítimas, engañando a los usuarios para que revelen credenciales, datos financieros y datos personales”, dijo la compañía.
“Utilizando los bots de telegrama, el malware puede aceptar instrucciones y cursar datos robados sin ocasionar sospechas, lo que dificulta que los sistemas de seguridad detecten y bloqueen la comunicación”.
