Araştırmacılar DragonEgg Android Casus Yazılımını LightSpy iOS Güvenlik Yazılımına Bağladı - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar DragonEgg Android Casus Yazılımını LightSpy iOS Güvenlik Yazılımına Bağladı - Dünyadan Güncel Teknoloji Haberleri

Şirket, “Tehdit aktörü grubunun popüler mesajlaşma programındaki ilk kötü niyetli aşamayı dağıtma şekli akıllıca bir hileydi” dedi


04 Eki 2023THNMobil Güvenlik / Casus Yazılım

Yeni bulgular, DragonEgg adlı bir Android casus yazılımı ile DragonEgg adlı başka bir gelişmiş modüler iOS gözetleme yazılımı aracı arasındaki bağlantıları belirledi

Ejderha Yumurtasıyanında WyrmSpy (diğer adıyla AndroidControl), ilk olarak Temmuz 2023’te Lookout tarafından Android cihazlardan hassas veriler toplayabilen bir kötü amaçlı yazılım türü olarak açıklandı

Dikkate değer eklentilerden bazıları, kurbanların kesin konumlarını izleyen bir konum modülünü, WeChat VOIP sesli konuşmalarının yanı sıra ortam sesini de yakalayabilen ses kaydını ve WeChat Pay’den ödeme geçmişini toplayan bir fatura modülünü içeriyor LightSpy

“Bunun birçok faydası vardı: İmplant, taşıyıcı uygulamanın sahip olduğu tüm erişim izinlerini devraldı Bu, Çin ulus devlet grubu APT41’e atfedildi Messenger söz konusu olduğunda, kamera ve depolama erişimi gibi pek çok özel izin mevcuttu

DragonEgg ve LightSpy arasındaki bağlantılar, yapılandırma kalıpları, çalışma zamanı yapısı ve eklentileri ile C2 iletişim formatındaki benzerliklerden kaynaklanmaktadır

Öte yandan LightSpy ile ilgili ayrıntılar Mart 2020’de, Hong Kong’daki Apple iPhone kullanıcılarının casus yazılımı yüklemek için sulama deliği saldırılarıyla hedef alındığı Zehirli Haber Operasyonu adlı kampanya kapsamında gün ışığına çıktı

ThreatFabric, “LightSpy Core, konfigürasyon açısından son derece esnektir: operatörler, güncellenebilir konfigürasyonu kullanarak casus yazılımı hassas bir şekilde kontrol edebilirler

ThreatFabric aynı zamanda Çinli cep telefonu operatörlerine ait 13 benzersiz telefon numarasından verileri barındıran bir sunucunun da tespit edildiğini ve verilerin LightSpy geliştiricilerinin veya kurbanlarının test numaralarını temsil etme olasılığını artırdığını söyledi ” söz konusuWebSocket’in komut dağıtımı için kullanıldığını ve HTTPS’nin veri sızdırma için kullanıldığını belirtiyor ”



siber-2

Eserlerin daha ayrıntılı analizi, implantın en az 11 Aralık 2018’den bu yana aktif olarak bakımının yapıldığını ve en son sürümün 13 Temmuz 2023’te yayınlandığını ortaya çıkardı

LightSpy’ın çekirdek modülü (yani DragonEgg), cihazın parmak izini toplamaktan, uzak bir sunucuyla iletişim kurmaktan, daha fazla talimat beklemekten ve eklentilerin yanı sıra kendisini güncellemekten sorumlu bir orkestratör eklentisi olarak işlev görür jar) indirmek için tasarlanmış, truva atı haline getirilmiş bir Telegram uygulamasının kullanımını içeriyor ve bu da Core kod adlı üçüncü bir bileşeni indirecek şekilde yapılandırılmış

Şimdi, Hollandalı mobil güvenlik firması ThreatFabric’e göre, saldırı zincirleri, ikinci aşama bir yükü (smallmload

LightSpy’ın komuta ve kontrolü (C2), Çin Anakarası, Hong Kong, Tayvan, Singapur ve Rusya’da bulunan ve kötü amaçlı yazılım ve WyrmSpy’ın aynı altyapıyı paylaştığı çeşitli sunuculardan oluşur