Программа-шпион LightSpy снова появилась на арене, нацеливаясь на людей в Южной Азии. Она имеет модульную структуру и широкий спектр возможностей, включая кражу файлов, запись аудио, сбор данных, доступ к системе и другие. Комментарии в коде и сообщения об ошибках указывают на возможное китайское происхождение LightSpy, вызывая опасения о государственном спонсировании. LightSpy использует "пиннинг" сертификатов для предотвращения обнаружения и позволяет устанавливать соединение с сервером C2 в условиях анализа трафика.
Появление LightSpy свидетельствует о сохраняющейся угрозе шпионажа через сложные программы-шпионы для мобильных устройств. Несмотря на то, что атаки обычно направлены на небольшое число людей, этот вид шпионажа представляет глобальную угрозу. Кампания LightSpy вызывает опасения из-за нацеливания на Южную Азию и предполагаемого китайского происхождения.
- LightSpy вернулся: После нескольких месяцев любопытного бездействия продвинутая программа-шпион для мобильных устройств появилась вновь, нацелившись на людей в Южной Азии.
- Расширенные возможности: Последняя итерация LightSpy, получившая название "F_Warehouse", может похвастаться модульной структурой и широкими возможностями шпионажа, включая:
- Кража файлов: LightSpy способен похищать файлы из различных популярных приложений, таких как Telegram, QQ, WeChat, а также нацеливаться на личные документы и медиафайлы.
- Запись аудио: LightSpy может тайно записывать аудио с зараженного устройства.
- Сбор данных: LightSpy может собирать и передавать историю браузера, списки подключений к WiFi, данные об установленных приложениях и даже фотографии с камеры устройства.
- Доступ к системе: LightSpy может получать данные о цепочке ключей пользователя и списки устройств, а также выполнять команды оболочки для потенциального полного контроля над устройством.
- Китайское происхождение: Комментарии к коду и сообщения об ошибках наводят на мысль, что за LightSpy стоят Китайские разработчики, что вызывает опасения о возможной деятельности, спонсируемой государством.
- Передовые методы: В LightSpy используется "пиннинг" сертификатов для предотвращения обнаружения и перехвата связи с командно-контрольным (C2) сервером. Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 не будет установлено.
Indicators of Compromise
URLs
- http://103.27.109.217:52202/963852741/mac/C40F0D27
- http://103.27.109.217:52202/963852741/mac/macversion.json
- http://103.27.109.217:52202/963852741/mac/plugins/0408ece5a667ec06
- http://103.27.109.217:52202/963852741/mac/plugins/0c377d6b6b074d16
- http://103.27.109.217:52202/963852741/mac/plugins/26f7d6b449f01571
- http://103.27.109.217:52202/963852741/mac/plugins/2e351c7b4de4d3b1
- http://103.27.109.217:52202/963852741/mac/plugins/484c8be6af1675b7
- http://103.27.109.217:52202/963852741/mac/plugins/4d29ee714380cd29
- http://103.27.109.217:52202/963852741/mac/plugins/6a0e40740cb52a1c
- http://103.27.109.217:52202/963852741/mac/plugins/70a5ecc118536683
- http://103.27.109.217:52202/963852741/mac/plugins/7e3211e5a00d2783
- http://103.27.109.217:52202/963852741/mac/plugins/f99fcea4aba03364
MD5
- 2178d673779605ffb9cf7f2fa3ec8e97
- 32076ae7b19f2669fd7c36e48425acd6
- 480da467b4687549b38eeea4d4ced293
- 54570441e91d8e65ea81bb265ba71c8c
- 564235b40d78f9c763b5022954ee9aae
- 59ac7dd41dca19a25a78a242e93a7ded
- 6371a942334444029f73b2faa2b76cf6
- a2fee8cfdabe4fdeeeb8faa921a3d158
- cad4de220316eebc9980fab812b9ed43
- ef92e192d09269628e65145070a01f97
- f162b87ad9466381711ebb4fe3337815
SHA256
- 0f662991dbd0568fc073b592f46e60b081eedf0c18313f2c3789e8e3f7cb8144
- 0f66a4daba647486d2c9d838592cba298df2dbf38f2008b6571af8a562bc306c
- 18bad57109ac9be968280ea27ae3112858e8bc18c3aec02565f4c199a7295f3a
- 3d6ef4d88d3d132b1e479cf211c9f8422997bfcaa72e55e9cc5d985fd2939e6d
- 4511567b33915a4c8972ef16e5d7de89de5c6dffe18231528a1d93bfc9acc59f
- 4b973335755bd8d48f34081b6d1bea9ed18ac1f68879d4b0a9211bbab8fa5ff4
- 5fb67d42575151dd2a04d7dda7bd9331651c270d0f4426acd422b26a711156b5
- 65aa91d8ae68e64607652cad89dab3273cf5cd3551c2c1fda2a7b90aed2b3883
- ac6d34f09fcac49c203e860da00bbbe97290d5466295ab0650265be242d692a6
- d2ccbf41552299b24f186f905c846fb20b9f76ed94773677703f75189b838f63
- fc7e77a56772d5ff644da143718ee7dbaf7a1da37cceb446580cd5efb96a9835