LightSpy

O malware LightSpy é uma ameaça que tem como alvo os dispositivos iOS. Ameaças projetadas para atingir os sistemas iOS especificamente não são muito comuns, pois são bastante difíceis de construir. Isso significa que os criadores da ameaça LightSpy provavelmente são cibercriminosos altamente qualificados e bem experientes. O malware LightSpy tem como alvo as versões 12.01 a 12.2 do iOS. Os especialistas em segurança cibernética acreditam que a ameaça LightSpy também pode ser compatível com uma variante mais antiga do iOS - 11.03.

Provávelmente se Originou na China

Depois de estudar a ameaça LightSpy, os analistas de malware descobriram que esse malware provavelmente é originário da China. No entanto, os pesquisadores ainda não conseguiram identificar um determinado APT (Ameaça Persistente Avançada) que pode ser responsável pelo malware LightSpy. Alguns analistas acreditam que a ameaça LightSpy pode ser a criação do grupo de hackers Lotus Bloom, que também é conhecido sob o apelido de Spring Dragon.

Métodos de Propagação

Os especialistas em segurança acreditam que um APT chinês pode estar por trás do malware LightSpy devido aos manifestantes demográficos - de Hong Kong. O direcionamento para uma população tão limitada nos leva a acreditar que o ataque é motivado politicamente. Para conseguir comprometer os dispositivos dos manifestantes alvo, os atacantes usam várias técnicas:

• Campanhas de email de phishing
• Mensagens diretas através de redes de mídia social.
• Mensagens diretas por e-mail.
• Postagens falsas no Instagram.
• Postagens falsas no serviço de mensagens Telegram.
• Postagens falsas em vários fóruns online.

O kit de exploração e a carga útil da ameaça LightSpy parecem estar hospedados em domínios configurados pelos atacantes, tais como o 'news2.hkrevolution.club', 'facebooktoday.cc', 'googlephoto.vip', 'Appledaily.googlephoto.vip', e outros. A página 'Appledaily.googlephoto.vip' foi criada para imitar a página oficial de um jornal bastante popular em Hong Kong - Apple Daily.

Coleta Dados

Ao infectar o sistema visado, a ameaça LightSpy será conectada a um servidor de C&C (Comando & Controle) predeterminado. Em seguida, o malware LightSpy aguardará comandos dos seus operadores. A ameaça LightSpy é capaz de coletar todos os tipos de dados do dispositivo comprometido. Este malware do iOS pode:

• Gerenciar mensagens de texto.
• Execute comandos remotos.
• Coletar mensagens de texto.
• Coletar histórico de chamadas.
• Coletar lista de contatos.
• Coletar arquivos do dispositivo.
• Carregar arquivos no dispositivo.
• Usar o sistema GPS do dispositivo para coletar dados de localização.
• Obter uma lista do software instalado.
• Obter uma lista dos processos em execução.
• Obter dados sobre o WiFi - redes próximas e histórico de conexões.
• Obter dados sobre as contas QQ - mensagens, arquivos compartilhados, lista de contatos, grupos.
• Obter dados sobre as contas do WeChat - mensagens, arquivos compartilhados, lista de contatos e grupos.

Os manifestantes de Hong Kong são frequentemente alvo de cibercriminosos pró-Pequim, e o malware LightSpy não é a primeira nem a última ameaça projetada para atingir especificamente esse público demográfico.