Los investigadores de ciberseguridad han marcado una versión actualizada del implante Lightspy que viene equipado con un conjunto ampliado de características de recopilación de datos para extraer información de plataformas de redes sociales como Facebook e Instagram.
LightSpy es el nombre dado a un spyware modular que es capaz de infectar los sistemas de Windows y Apple con el objetivo de cosechar datos. Fue documentado por primera vez en 2020, dirigido a los usuarios en Hong Kong.
Esto incluye información de red Wi-Fi, capturas de pantalla, ubicación, llavero iCloud, grabaciones de sonido, fotos, historial de navegadores, contactos, historial de llamadas y mensajes SMS, y datos de varias aplicaciones como archivos, línea, maestro de correo, telegrama, tencent QQ, WeChat y WhatsApp.
A fines del año pasado, Deniquefabric detalló una versión actualizada del malware que incorpora capacidades destructivas para evitar que el dispositivo comprometido se inicie, junto con la expansión del número de complementos compatibles de 12 a 28.
Los hallazgos anteriores también han descubierto posibles superposiciones entre LightSpy y un malware Android llamado Dragonegg, destacando la naturaleza multiplataforma de la amenaza.
El último análisis de Hunt.io de la infraestructura maliciosa de comando y control (C2) asociada con el spyware ha descubierto soporte para más de 100 comandos que abarcan Android, iOS, Windows, MacOS, Routers y Linux.
«La nueva lista de comandos cambia el enfoque de la recopilación de datos directos a un control operativo más amplio, incluida la administración de transmisión (‘Control de transporte) y el seguimiento de la versión del complemento (‘ Detalles de la versión del complemento de carga ‘)», dijo la compañía.
«Estas adiciones sugieren un marco más flexible y adaptable, lo que permite a los operadores de LightSpy administrar las implementaciones de manera más eficiente en múltiples plataformas».
Entre los nuevos comandos es la capacidad de dirigirse a archivos de base de datos de aplicaciones de Facebook e Instagram para la extracción de datos de los dispositivos Android. Pero en un giro interesante, los actores de amenaza han eliminado los complementos de iOS asociados con acciones destructivas en el anfitrión de la víctima.
También se descubren 15 complementos específicos de Windows diseñados para la vigilancia del sistema y la recopilación de datos, con la mayoría de ellos orientados hacia el keylogging, la grabación de audio y la interacción USB.
La firma de inteligencia de amenazas dijo que también descubrió un punto final («/teléfono/phoneininfo») en el panel de administración que otorga a los usuarios iniciadores la capacidad de controlar de forma remota los dispositivos móviles infectados. Actualmente no se sabe si estos representan nuevos desarrollos o versiones anteriores previamente indocumentadas.
«El cambio de las aplicaciones de mensajería de orientación a Facebook e Instagram expande la capacidad de Lightspy para recopilar mensajes privados, listas de contactos y metadatos de cuenta de plataformas sociales ampliamente utilizadas», dijo Hunt.io.
«Extraer estos archivos de base de datos podría proporcionar a los atacantes conversaciones almacenadas, conexiones de usuario y datos potencialmente relacionados con la sesión, aumentando las capacidades de vigilancia y las oportunidades para una mayor explotación».
La divulgación se produce cuando Cyfirma reveló los detalles de un malware de Android denominado Spylend que se disfraza de una aplicación financiera llamada Finance Simplified (nombre APK «com.someca.count») en Google Play Store pero se involucra en préstamos predatorios, chantajías y extorsión dirigida Usuarios indios.
«Al aprovechar la orientación basada en la ubicación, la aplicación muestra una lista de aplicaciones de préstamos no autorizadas que operan completamente dentro de WebView, lo que permite a los atacantes evitar el escrutinio de las tiendas», dijo la compañía.
«Una vez instalado, estas aplicaciones de préstamos cosechan datos del usuario confidencial, hacen cumplir las prácticas de préstamo de explotación y emplean tácticas de chantaje para extorsionar el dinero».
Algunas de las aplicaciones de préstamos anunciadas son KreditPro (anteriormente Kreditapple), Moneyape, Stashfur, Fairbalance y Pokketme. Los usuarios que instalan financiamiento simplificados desde fuera de la India reciben una visión web inofensiva que enumera a varias calculadoras para finanzas personales, contabilidad e impuestos, lo que sugiere que la campaña está diseñada para dirigirse específicamente a los usuarios indios.
La aplicación ya no está disponible para descargar desde el mercado oficial de aplicaciones de Android. Según las estadísticas disponibles en Sensor Tower, la aplicación se publicó a mediados de diciembre de 2024 y atrajo más de 100,000 instalaciones.
«Inicialmente presentada como una aplicación inofensiva de gestión de finanzas, descarga una aplicación de préstamo de fraude de una URL de descarga externa, que una vez instalada, obtiene permisos extensos para acceder a datos confidenciales, incluidos archivos, contactos, registros de llamadas, SMS, contenido de portapapeles e incluso el Cámara «, señaló Cyfirma.
Los clientes de la banca minorista india también se han convertido en el objetivo de otra campaña que distribuye un llamado FinSealer con nombre en código de malware que se hace pasar por aplicaciones bancarias legítimas, pero está diseñado para recolectar credenciales de inicio de sesión y facilitar el fraude financiero realizando transacciones no autorizadas.
«Distribuido a través de enlaces de phishing e ingeniería social, estas aplicaciones falsas imitan de cerca las aplicaciones bancarias legítimas, engañando a los usuarios para que revelen credenciales, datos financieros y datos personales», dijo la compañía.
«Utilizando los bots de telegrama, el malware puede recibir instrucciones y enviar datos robados sin generar sospechas, lo que dificulta que los sistemas de seguridad detecten y bloqueen la comunicación».