Η εταιρεία ασφαλείας ThreatFabric ανακάλυψε ότι το LightSpy, ένα κακόβουλο λογισμικό κατασκοπείας (spyware) που στοχεύει iPhone και ανακαλύφθηκε το 2020, είναι πιο εξελιγμένο από ό,τι είχε αναφερθεί προηγουμένως και ίσως να συνδέεται με την γνωστή κινεζική ομάδα hackers, APT41.
Κατά τη διάρκεια της έρευνας, οι ερευνητές της ThreatFabric ανακάλυψαν νέα χαρακτηριστικά στο κακόβουλο λογισμικό LightSpy. Αρχικά, το spyware είχε χρησιμοποιηθεί σε επιθέσεις watering hole κατά χρηστών iOS στο Χονγκ Κονγκ, τον Ιανουάριο του 2020.
Οι νέες λειτουργίες του LightSpy spyware περιλαμβάνουν 14 πρόσθετα που επιτρέπουν την εξαγωγή προσωπικών δεδομένων και έναν βασικό ενσωματωμένο κώδικα που υποστηρίζει 24 εντολές, συμπεριλαμβανομένης της δυνατότητας συλλογής device fingerprints, της δημιουργίας πλήρους σύνδεσης με τον command-and-control (C2) server του επιτιθέμενου και της λήψης εντολών από τον server.
Δείτε επίσης: Python: Εκατοντάδες κακόβουλα packages κλέβουν ευαίσθητα δεδομένα
LightSpy Spyware
Τα τρία από τα 14 plugins του LightSpy τράβηξαν περισσότερο την προσοχή των ερευνητών. Αυτά είναι τα:
Location module plugin: Επιτρέπει την παρακολούθηση της τρέχουσας τοποθεσίας των χρηστών μέσω στιγμιότυπων που λαμβάνονται σε συγκεκριμένα χρονικά διαστήματα.
Sound record plugin: Επιτρέπει την εγγραφή με μικρόφωνο, ακόμη και κατά τη διάρκεια εισερχόμενων τηλεφωνικών κλήσεων. Επιπλέον, καταγράφει ηχητικές συνομιλίες WeChat VoIP χρησιμοποιώντας μια εγγενή βιβλιοθήκη που ονομάζεται libwechatvoipCoMm[dot]so.
Bill plugin: Επιτρέπει την κλοπή του ιστορικού πληρωμών του WeChat Pay (τελευταίο bill ID, τύπος λογαριασμού, αναγνωριστικό συναλλαγής, ημερομηνία και payment processing flag).
Οι ερευνητές της ThreatFabric κατέληξαν, επίσης, στο συμπέρασμα ότι το LightSpy συνδέεται με το DragonEgg, ένα Android spyware που ανακαλύφθηκε από την Lookout τον Ιούλιο του 2023 και συσχετίστηκε, επίσης, με την Κινεζική ομάδα APT41.
Επίσης ανακαλύφθηκε ότι η υποδομή του LightSpy περιλαμβάνει δεκάδες διακομιστές στην ηπειρωτική Κίνα, το Χονγκ Κονγκ, την Ταϊβάν, τη Σιγκαπούρη και τη Ρωσία. Εκτιμάται ότι οι κύριοι στόχοι της ομάδας βρίσκονται στην περιοχή της Ασίας-Ειρηνικού.
Η ThreatFabric πιστεύει ότι το WyrmSpy (γνωστό και ως AndroidControl), ένα άλλο λογισμικό υποκλοπής που ανακαλύφθηκε τον Ιούλιο του 2023 μαζί με το DragonEgg, μοιράζεται την ίδια υποδομή με το LightSpy και “θα μπορούσε να είναι ο διάδοχός του”.
Δείτε επίσης: Microsoft: Χάκερ στοχεύουν τα VM cloud Azure μέσω διακομιστών SQL
Ακόμα και αν λάβουμε υπόψη τα τρία μόνο από τα 14 plugins, μπορούμε να αντιληφθούμε ότι το LightSpy spyware είναι άκρως επικίνδυνο, ικανό να παρακολουθεί την τοποθεσία των χρηστών, να καταγράφει τις φωνητικές τους συνομιλίες και να κλέβει πληροφορίες από τις πληρωμές που πραγματοποιούν μέσω του WeChat Pay. Η σύνδεση του LightSpy με την ομάδα APT41 δείχνει ότι πρόκειται για μια εξαιρετικά προηγμένη και οργανωμένη προσπάθεια κατασκοπείας.
Σημασία της προστασίας των iPhone
Η προστασία των συσκευών σας από το LightSpy iPhone Spyware της APT41, είναι καίριας σημασίας για την ασφάλεια των δεδομένων σας. Πρέπει να ενημερώνετε αμέσως τις συσκευές σας, μόλις κυκλοφορεί μια νέα ενημέρωση ασφαλείας αλλά και να εφαρμόζετε άλλες πρακτικές για να προστατεύεστε γενικά από απειλές στον κυβερνοχώρο:
- Αποφύγετε το Jailbreaking: Ενώ η εξατομίκευση των ρυθμίσεων και των εφαρμογών σας μπορεί να φαίνεται ελκυστική, η διαδικασία του jailbreaking αφαιρεί επίσης ορισμένα από τα πιο ισχυρά επίπεδα ασφάλειας που προσφέρει η Apple.
- Ενημερώστε τη Συσκευή: Τα επίσημα updates από την Apple ορισμένες φορές περιλαμβάνουν διορθώσεις για ευπάθειες που ενδέχεται να χρησιμοποιήσει το LightSpy.
- Λήψη Εφαρμογών από το Επίσημο Κατάστημα: Το Apple App Store διαθέτει δική του διαδικασία ελέγχου για την αναγνώριση και τον αποκλεισμό των κακόβουλων εφαρμογών. Η αποφυγή των άγνωστων πηγών μπορεί να προστατεύσει τη συσκευή σας από την λοίμωξη.
Δείτε επίσης: Οι Lazarus hackers χρησιμοποιούν το νέο LightlessCan malware
APT41 hackers
Η ομάδα APT41 άρχισε να δραστηριοποιείται το 2012 και πιστεύεται ότι συνδέεται με το Κινεζικό Υπουργείο Κρατικής Ασφάλειας (MSS). Η ομάδα είναι, επίσης, γνωστή ως BARIUM, Double Dragon, Wicked Panda και Wicked Spider.
Οι συγκεκριμένοι hackers βρίσκονται πίσω από επιθέσεις κατασκοπείας για λογαριασμό του κράτους, αλλά και πίσω από επιθέσεις με οικονομικά κίνητρα.
Πηγή: www.infosecurity-magazine.com
