網(wǎng)絡(luò)安全研究人員近日發(fā)現(xiàn)了一款更新版本的LightSpy植入程序，其數(shù)據(jù)收集功能大幅擴(kuò)展，能夠從Facebook和Instagram等社交媒體平臺提取信息。LightSpy是一款模塊化間諜軟件，能夠感染W(wǎng)indows和蘋果系統(tǒng)以竊取數(shù)據(jù)。它最早于2020年被記錄在案，主要針對香港用戶。

LightSpy的功能與擴(kuò)展

LightSpy能夠收集Wi-Fi網(wǎng)絡(luò)信息、截圖、位置、iCloud鑰匙串、錄音、照片、瀏覽器歷史、聯(lián)系人、通話記錄、短信，以及來自Files、LINE、Mail Master、Telegram、騰訊QQ、微信和WhatsApp等應(yīng)用程序的數(shù)據(jù)。

去年年底，ThreatFabric詳細(xì)介紹了該惡意軟件的更新版本，新增了破壞性功能，可阻止受感染設(shè)備啟動，同時將其支持的插件數(shù)量從12個擴(kuò)展到28個。此外，之前的研究還發(fā)現(xiàn)LightSpy與一款名為DragonEgg的安卓惡意軟件存在潛在的重疊，進(jìn)一步凸顯了這種威脅的跨平臺性質(zhì)。

Hunt.io的最新分析揭示，與該間諜軟件相關(guān)的惡意命令和控制（C2）基礎(chǔ)設(shè)施新增了超過100條指令，涵蓋Android、iOS、Windows、macOS、路由器和Linux。

新指令的焦點轉(zhuǎn)移與功能增強(qiáng)

Hunt.io指出：“新的指令列表將焦點從直接數(shù)據(jù)收集轉(zhuǎn)移到更廣泛的操作控制，包括傳輸管理和插件版本跟蹤。這些新增功能表明LightSpy的框架更加靈活和適應(yīng)性強(qiáng)，使操作者能夠更高效地管理跨平臺部署?！?/p>

值得注意的是，新指令中包含了針對Facebook和Instagram應(yīng)用程序數(shù)據(jù)庫文件的功能，能夠從安卓設(shè)備中提取數(shù)據(jù)。然而，有趣的是，攻擊者刪除了與iOS設(shè)備上破壞性操作相關(guān)的插件。此外，研究人員還發(fā)現(xiàn)了15個專門為Windows系統(tǒng)設(shè)計的插件，主要用于鍵盤記錄、音頻錄制和USB交互。

Hunt.io還提到，在管理面板中發(fā)現(xiàn)了一個端點（“/phone/phoneinfo”），允許登錄用戶遠(yuǎn)程控制受感染的移動設(shè)備。目前尚不清楚這些功能是新開發(fā)的還是之前未記錄的舊版本。

攻擊目標(biāo)擴(kuò)展與潛在風(fēng)險

Hunt.io表示：“從針對消息應(yīng)用程序轉(zhuǎn)向Facebook和Instagram，LightSpy擴(kuò)展了其收集私人消息、聯(lián)系人列表和賬戶元數(shù)據(jù)的能力。提取這些數(shù)據(jù)庫文件可能為攻擊者提供存儲的對話、用戶連接，甚至與會話相關(guān)的數(shù)據(jù)，從而增強(qiáng)其監(jiān)控能力并提供進(jìn)一步利用的機(jī)會。”

與此同時，Cyfirma披露了一款名為SpyLend的安卓惡意軟件的詳細(xì)信息。這款軟件偽裝成名為“Finance Simplified”（APK名稱為“com.someca.count”）的金融應(yīng)用程序，在Google Play商店上架，實際上卻從事掠奪性貸款、敲詐和勒索，主要針對印度用戶。

Cyfirma指出：“通過基于位置的定向攻擊，該應(yīng)用程序展示了一系列完全在WebView中運行的未經(jīng)授權(quán)的貸款應(yīng)用，使攻擊者能夠繞過Play商店的審查。一旦安裝，這些貸款應(yīng)用會收集敏感用戶數(shù)據(jù)，實施剝削性的貸款行為，并采用勒索手段索取錢財?！?/p>

針對印度用戶的惡意活動

廣告中提到的部分貸款應(yīng)用包括KreditPro（前身為KreditApple）、MoneyAPE、StashFur、Fairbalance和PokketMe。對于從印度境外安裝“Finance Simplified”的用戶，該應(yīng)用程序只顯示一個無害的WebView頁面，列出了各種個人財務(wù)、會計和稅務(wù)計算器，表明該活動專門針對印度用戶。

目前，這款應(yīng)用已無法從官方Android應(yīng)用市場下載。根據(jù)Sensor Tower的統(tǒng)計數(shù)據(jù)，該應(yīng)用程序發(fā)布于2024年12月中旬，累計安裝量超過10萬次。

Cyfirma強(qiáng)調(diào)：“這款應(yīng)用最初表現(xiàn)為一款無害的財務(wù)管理工具，但實際上會從外部下載URL下載一款欺詐性貸款應(yīng)用。一旦安裝，它會獲得廣泛的權(quán)限，訪問敏感數(shù)據(jù)，包括文件、聯(lián)系人、通話記錄、短信、剪貼板內(nèi)容，甚至攝像頭?！?/p>

此外，印度零售銀行客戶還成為另一項惡意活動的目標(biāo)，該活動分發(fā)了一款代號為FinStealer的惡意軟件，冒充合法的銀行應(yīng)用程序，旨在收集登錄憑證并通過未經(jīng)授權(quán)的交易實施金融欺詐。

Cyfirma表示：“這些虛假應(yīng)用程序通過釣魚鏈接和社會工程手段分發(fā)，偽裝成合法的銀行應(yīng)用，誘騙用戶泄露憑證、財務(wù)數(shù)據(jù)和個人信息。通過Telegram機(jī)器人，該惡意軟件可以接收指令并發(fā)送被盜數(shù)據(jù)，而不會引起懷疑，使得安全系統(tǒng)更難檢測和阻止通信。”