16/04/24
Группа экспертов по кибербезопасности обнаружила возобновление кампании по кибершпионажу, нацеленной на пользователей в Южной Азии. Целью атак является внедрение новой версии вредоносной программы LightSpy, направленной на пользователей iOS.
«Новейшая версия LightSpy, известная как "F_Warehouse", обладает модульной структурой с расширенными возможностями слежки», — сообщили в исследовательском подразделении компании BlackBerry.
По данным специалистов, зловредная кампания могла быть направлена преимущественно на Индию, учитывая многочисленные отправки экземпляров в VirusTotal с территории этой страны.
LightSpy — это сложный iOS-бэкдор, впервые обнаруженный в 2020 году, поясняет Securitylab. Он распространяется в основном через заражённые новостные сайты. В октябре 2023 года эксперты компании ThreatFabric выявили связь LightSpy с Android-вредоносом DragonEgg, который приписывается китайской группе APT41.
Начальная точка заражения последней зловредной кампании пока неизвестна наверняка, но исследователи предполагают, что ей снова стали взломанные новостные ресурсы.
Полностью развёрнутый вредонос LightSpy позволяет злоумышленникам собирать с iPhone своих жертв контакты, SMS, данные о местоположении, записывать звук во время VoIP-звонков. А последняя версия вредоноса и вовсе способна похищать данные из популярных мессенджеров, пароли iCloud и историю браузера.
Вредонос использует технологию «Certificate Pinning», чтобы предотвратить обнаружение связи с командным сервером. Кроме того, анализ кода предполагает участие китаеязычных разработчиков, что указывает на возможную поддержку Коммунистической партии Китая.
«Возвращение LightSpy в итерации "F_Warehouse" свидетельствует об эскалации угроз мобильного шпионажа», — резюмировали эксперты BlackBerry. «Расширенные возможности этого вредоноса создают серьёзные риски для пользователей и организаций в Южной Азии».
