Обновленная версия LightSpy демонстрирует значительное расширение функциональных возможностей, открывая новые горизонты контроля над зараженными устройствами. Расширенный набор команд охватывает платформы Windows, macOS, Linux, а также мобильные устройства, что значительно усиливает возможности атакующего.
Первоначально документированный в 2020 году для пользователей Гонконга, LightSpy зарекомендовал себя как модульное шпионское ПО, способное заражать как устройства на базе Windows, так и Apple-системы. Этот вирус эволюционировал, накапливая многочисленные функции для сбора данных и дистанционного управления.
Программа активно извлекает данные о Wi‑Fi сетях, делает снимки экрана, определяет местоположение, получает содержимое iCloud Keychain, записывает звук, снимает фотографии, анализирует историю браузера, а также собирает контакты, журналы звонков и SMS-сообщения. Кроме того, происходит сбор информации из таких приложений, как Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp, а также из социальных платформ Ф⃰ и И⃰ на Android посредством извлечения файлов баз данных.
Обновленная версия включает расширенный список плагинов, увеличенный с 12 до 28, дополненный 15 специфическими для Windows модулями, нацеленными на кейлоггинг, аудиозапись и взаимодействие с USB-устройствами. Отмечены деструктивные функции, способные блокировать загрузку устройства, как зафиксировал ThreatFabric в конце прошлого года.
Анализ выявил свыше 100 команд, действующих на платформах Android, iOS, Windows, macOS, Linux и маршрутизаторах. Среди новых команд выделяются «управление передачей» (传输控制) и «загрузка детальной информации о версии плагина» (上传插件版本详细信息). Дополнительная возможность удаленного управления зараженными мобильными устройствами реализована через эндпоинт «/phone/phoneinfo» в административной панели.
Фокус атак сместился от мессенджеров к социальным приложениям, что позволяет злоумышленникам получать доступ к сохраненным беседам, контактам и сессионным данным. При этом iOS-плагины, способные выполнять деструктивные действия на хосте, были удалены, что отражает изменение тактики угрозы.
Перекрестное воздействие между LightSpy и Android‑зловредом DragonEgg подчеркивает межплатформенную опасность данного инструмента, свидетельствуя о растущей сложности и широте применения подобных угроз.
Android‑малварь SpyLend, выявленная Cyfirma, маскируется под приложение по управлению финансами Finance Simplified (APK: com.someca.count) и нацелена на индийских пользователей. Приложение, опубликованное в середине декабря 2024 года и скачанное более чем 100 000 раз по данным Sensor Tower, первоначально представлялось как безобидный инструмент, однако затем загружало мошенническое кредитное приложение с внешнего URL. После установки оно запрашивало широкие разрешения для доступа к файлам, контактам, журналам звонков, SMS, содержимому буфера обмена и данным камеры, а также более не размещается в официальном магазине Android. Незарегистрированные кредитные приложения, такие как KreditPro (ранее KreditApple), MoneyAPE, StashFur, Fairbalance и PokketMe, используются для хищнического кредитования, шантажа и вымогательства.
Финансовый зловред FinStealer выдает себя за легитимные банковские приложения, нацеливаясь на индийских розничных клиентов. Распространяемая посредством фишинговых ссылок и социальной инженерии, программа с помощью Telegram‑ботов получает команды и отправляет украденные данные, что способствует проведению несанкционированных транзакций и финансовым мошенничествам.
Изображение носит иллюстративный характер
Первоначально документированный в 2020 году для пользователей Гонконга, LightSpy зарекомендовал себя как модульное шпионское ПО, способное заражать как устройства на базе Windows, так и Apple-системы. Этот вирус эволюционировал, накапливая многочисленные функции для сбора данных и дистанционного управления.
Программа активно извлекает данные о Wi‑Fi сетях, делает снимки экрана, определяет местоположение, получает содержимое iCloud Keychain, записывает звук, снимает фотографии, анализирует историю браузера, а также собирает контакты, журналы звонков и SMS-сообщения. Кроме того, происходит сбор информации из таких приложений, как Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp, а также из социальных платформ Ф⃰ и И⃰ на Android посредством извлечения файлов баз данных.
Обновленная версия включает расширенный список плагинов, увеличенный с 12 до 28, дополненный 15 специфическими для Windows модулями, нацеленными на кейлоггинг, аудиозапись и взаимодействие с USB-устройствами. Отмечены деструктивные функции, способные блокировать загрузку устройства, как зафиксировал ThreatFabric в конце прошлого года.
Анализ выявил свыше 100 команд, действующих на платформах Android, iOS, Windows, macOS, Linux и маршрутизаторах. Среди новых команд выделяются «управление передачей» (传输控制) и «загрузка детальной информации о версии плагина» (上传插件版本详细信息). Дополнительная возможность удаленного управления зараженными мобильными устройствами реализована через эндпоинт «/phone/phoneinfo» в административной панели.
Фокус атак сместился от мессенджеров к социальным приложениям, что позволяет злоумышленникам получать доступ к сохраненным беседам, контактам и сессионным данным. При этом iOS-плагины, способные выполнять деструктивные действия на хосте, были удалены, что отражает изменение тактики угрозы.
Перекрестное воздействие между LightSpy и Android‑зловредом DragonEgg подчеркивает межплатформенную опасность данного инструмента, свидетельствуя о растущей сложности и широте применения подобных угроз.
Android‑малварь SpyLend, выявленная Cyfirma, маскируется под приложение по управлению финансами Finance Simplified (APK: com.someca.count) и нацелена на индийских пользователей. Приложение, опубликованное в середине декабря 2024 года и скачанное более чем 100 000 раз по данным Sensor Tower, первоначально представлялось как безобидный инструмент, однако затем загружало мошенническое кредитное приложение с внешнего URL. После установки оно запрашивало широкие разрешения для доступа к файлам, контактам, журналам звонков, SMS, содержимому буфера обмена и данным камеры, а также более не размещается в официальном магазине Android. Незарегистрированные кредитные приложения, такие как KreditPro (ранее KreditApple), MoneyAPE, StashFur, Fairbalance и PokketMe, используются для хищнического кредитования, шантажа и вымогательства.
Финансовый зловред FinStealer выдает себя за легитимные банковские приложения, нацеливаясь на индийских розничных клиентов. Распространяемая посредством фишинговых ссылок и социальной инженерии, программа с помощью Telegram‑ботов получает команды и отправляет украденные данные, что способствует проведению несанкционированных транзакций и финансовым мошенничествам.
