Peneliti cybersecurity telah menandai versi terbaru dari implan LightSpy yang dilengkapi dengan serangkaian fitur pengumpulan data yang diperluas untuk mengekstrak informasi dari platform media sosial seperti Facebook dan Instagram.
Lightspy adalah nama yang diberikan kepada spyware modular yang mampu menginfeksi sistem Windows dan Apple dengan tujuan memanen data. Ini pertama kali didokumentasikan pada tahun 2020, menargetkan pengguna di Hong Kong.
Ini termasuk informasi jaringan Wi-Fi, tangkapan layar, lokasi, gantungan kunci iCloud, rekaman suara, foto, riwayat browser, kontak, riwayat panggilan, dan pesan SMS, dan data dari berbagai aplikasi seperti file, baris, master surat, telegram, Tencent QQ, WeChat, dan WhatsApp.
Akhir tahun lalu, ancaman Fabric merinci versi terbaru dari malware yang menggabungkan kemampuan destruktif untuk mencegah perangkat yang dikompromikan dari booting, di samping memperluas jumlah plugin yang didukung dari 12 menjadi 28.
Temuan sebelumnya juga telah menemukan potensi tumpang tindih antara Lightspy dan malware Android bernama DragOneGg, menyoroti sifat lintas platform dari ancaman tersebut.
Analisis terbaru Hunt.io tentang infrastruktur komando-dan-kontrol (C2) berbahaya yang terkait dengan spyware telah mengungkap dukungan untuk lebih dari 100 perintah yang mencakup Android, iOS, Windows, MacOS, router, dan Linux.
“Daftar perintah baru menggeser fokus dari pengumpulan data langsung ke kontrol operasional yang lebih luas, termasuk manajemen transmisi ('传输控制') dan pelacakan versi plugin ('上传插件版本详细信息'),” kata perusahaan itu.
“Penambahan ini menunjukkan kerangka kerja yang lebih fleksibel dan mudah beradaptasi, memungkinkan operator LightSpy untuk mengelola penyebaran lebih efisien di berbagai platform.”
Yang terkenal di antara perintah baru adalah kemampuan untuk menargetkan file database aplikasi Facebook dan Instagram untuk ekstraksi data dari perangkat Android. Namun dalam twist yang menarik, para aktor ancaman telah menghilangkan plugin iOS yang terkait dengan tindakan destruktif pada tuan rumah korban.
Juga ditemukan adalah 15 plugin spesifik jendela yang dirancang untuk pengawasan sistem dan pengumpulan data, dengan sebagian besar diarahkan pada keylogging, perekaman audio, dan interaksi USB.
Perusahaan Ancaman Intelijen mengatakan juga menemukan titik akhir (“/phone/phoneInfo”) di panel admin yang memberi hibah kepada pengguna yang masuk kemampuan untuk mengontrol perangkat seluler yang terinfeksi dari jarak jauh. Saat ini tidak diketahui apakah ini mewakili perkembangan baru atau versi lama yang sebelumnya tidak berdokumen.
“Pergeseran dari menargetkan aplikasi pesan ke Facebook dan Instagram memperluas kemampuan Lightspy untuk mengumpulkan pesan pribadi, daftar kontak, dan metadata akun dari platform sosial yang banyak digunakan,” kata Hunt.io.
“Mengekstraksi file database ini dapat memberikan penyerang dengan percakapan tersimpan, koneksi pengguna, dan data yang berpotensi terkait sesi, meningkatkan kemampuan pengawasan dan peluang untuk eksploitasi lebih lanjut.”
Pengungkapan ini datang ketika Cyfirma mengungkapkan rincian malware android yang dijuluki spylend yang menyamar sebagai aplikasi keuangan bernama Finance disederhanakan (nama APK “com.someca.count”) di Google Play Store tetapi terlibat dalam peminjaman predator, blackmail, dan pemerasan yang ditujukan untuk yang ditujukan untuk ditujukan untuk ditujukan untuk peminjaman predator, Blackmail, dan yang ditujukan untuk peminjaman predator, dan pemerasan yang ditujukan untuk peminjaman predator, blackmail, yang ditujukan untuk peminjaman predator, blackmail, yang ditujukan untuk peminjaman predator, blackmail, yang ditujukan untuk peminjaman predator, blackmail, yang ditujukan sebelumnya Pengguna India.
“Dengan memanfaatkan penargetan berbasis lokasi, aplikasi ini menampilkan daftar aplikasi pinjaman tidak sah yang beroperasi sepenuhnya di dalam Webview, yang memungkinkan penyerang untuk mem-bypass play store scrutiny,” kata perusahaan itu.
“Setelah diinstal, aplikasi pinjaman ini memanen data pengguna yang sensitif, menegakkan praktik pinjaman yang eksploitatif, dan menggunakan taktik pemerasan untuk memeras uang.”
Beberapa aplikasi pinjaman yang diiklankan adalah KREDITPRO (sebelumnya Kreditapple), Moneyape, Stashfur, Fairbalance, dan Pokketme. Pengguna yang menginstal keuangan yang disederhanakan dari luar India dilayani sebagai webview yang tidak berbahaya yang mencantumkan berbagai kalkulator untuk keuangan pribadi, akuntansi, dan perpajakan, menunjukkan bahwa kampanye ini dirancang untuk secara khusus menargetkan pengguna India.
Aplikasi ini tidak lagi tersedia untuk diunduh dari Pasar Aplikasi Android resmi. Menurut statistik yang tersedia di Menara Sensor, aplikasi ini diterbitkan sekitar pertengahan Desember 2024 dan menarik lebih dari 100.000 instalasi.
“Awalnya disajikan sebagai aplikasi manajemen keuangan yang tidak berbahaya, ia mengunduh aplikasi pinjaman penipuan dari URL unduhan eksternal, yang setelah diinstal, mendapatkan izin luas untuk mengakses data yang sensitif, termasuk file, kontak, log panggilan, SMS, konten clipboard, dan bahkan Kamera, “Cyfirma menunjukkan.
Pelanggan perbankan ritel India juga telah menjadi target kampanye lain yang mendistribusikan malware dengan nama kode FinStealer yang menyamar sebagai aplikasi bank yang sah, tetapi direkayasa untuk mengumpulkan kredensial login dan memfasilitasi penipuan keuangan dengan melakukan transaksi yang tidak sah.
“Didistribusikan melalui tautan phishing, dan rekayasa sosial, aplikasi palsu ini meniru aplikasi bank yang sah, menipu pengguna untuk mengungkapkan kredensial, data keuangan, dan detail pribadi,” kata perusahaan itu.
“Menggunakan bot telegram, malware dapat menerima instruksi dan mengirim data curian tanpa menimbulkan kecurigaan, sehingga lebih sulit bagi sistem keamanan untuk mendeteksi dan memblokir komunikasi.”
