LightSpy: 100 скрытых команд для управления вашими гаджетами
Новые функции позволяют красть данные даже из защищённых приложений.
Исследователи в области безопасности из Hunt.io зафиксировали обновлённую версию шпионского ПО LightSpy, получившую расширенные функции сбора данных. Теперь вредоносная программа способна извлекать информацию из социальных сетей, включая Facebook* и Instagram*.
LightSpy представляет собой модульный шпионский инструмент, способный заражать устройства на Windows и macOS, а также мобильные системы. Впервые его активность была замечена в 2020 году, когда атаки были нацелены на пользователей в Гонконге.
Вредонос собирает широкий спектр данных, включая информацию о Wi-Fi-сетях, скриншоты, геолокацию, связки ключей iCloud, аудиозаписи, фотографии, историю браузера, контакты, историю вызовов и SMS. Помимо этого, он способен похищать данные из популярных приложений, таких как Telegram, WhatsApp, WeChat, LINE и Tencent QQ.
Прошлогодний анализ компании ThreatFabric показал, что LightSpy не так давно получил обновление, увеличившее число поддерживаемых плагинов с 12 до 28. Вредонос также обзавёлся разрушительными функциями, препятствующими загрузке заражённого устройства. Исследователи ранее отмечали сходство LightSpy с Android-модификацией DragonEgg, что указывает на кроссплатформенную природу угрозы.
Свежий отчёт Hunt.io раскрывает поддержку более 100 команд в инфраструктуре управления и контроля LightSpy. Они охватывают Android, iOS, Windows, macOS, маршрутизаторы и Linux. Спектр возможностей вредоноса расширился: если раньше упор делался на кражу данных, то теперь разработчики сделали ставку на комплексное управление заражёнными устройствами. В частности, добавлены команды для управления передачей данных и отслеживания версий плагинов.
Особенно примечательно появление команд, позволяющих извлекать базы данных Facebook и Instagram с устройств под управлением Android. Однако, согласно анализу, из версии для iOS исчезли плагины, отвечавшие за деструктивные действия на устройстве жертвы. Кроме того, обнаружено 15 специфичных для Windows плагинов, ориентированных на кейлоггинг, запись звука и взаимодействие с USB-устройствами.
Эксперты также выявили административную панель с функционалом удалённого управления заражёнными мобильными устройствами. Остаётся неясным, является ли эта функция нововведением или ранее просто не попадалась исследователям.
Расширение возможностей LightSpy сигнализирует об усилении слежки за пользователями социальных сетей. Аналитики подчёркивают, что извлечение баз данных Facebook и Instagram позволяет атакующим получить доступ к перепискам, контактам и метаданным аккаунтов, открывая новые возможности для эксплуатации похищенной информации.
Тем временем исследователи из Cyfirma недавно представили детали о другой вредоносной программе — SpyLend, распространявшейся через Google Play под видом финансового приложения Finance Simplified. Зловред был нацелен на пользователей в Индии и использовал тактику хищнического кредитования и вымогательства. Согласно отчётам, вредоносное ПО получало широкие привилегии, включая доступ к контактам, файлам, журналам вызовов, SMS и даже камере. В целях обхода проверки Google Play приложение маскировалось под финансовый инструмент для зарубежных пользователей.
Эксперты предупреждают, что киберпреступники продолжают расширять арсенал атак, совершенствуя механизмы слежки и финансового мошенничества. Пользователям рекомендуется соблюдать осторожность при установке приложений и внимательно относиться к разрешениям, запрашиваемым программами.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.