Ny forskning har identificeret forbindelser mellem en Android spionsoftware kaldet DragonEgg og et andet sofistikeret modulært iOS overvågningsværktøj ved navn LightSpy.

DragonEgg, sammen med WyrmSpy (alias AndroidControl), blev først afsløret af Lookout i juli 2023 som en form for malware, der er i stand til at indsamle følsomme data fra Android-enheder. Den blev tilskrevet den kinesiske nationale gruppe APT41.

På den anden side kom detaljer om LightSpy frem i marts 2020 som en del af en kampagne kaldet Operation Poisoned News, hvor Apple iPhone-brugere i Hong Kong blev målrettet med såkaldte vandhulangreb for at installere spionsoftwaren.

ThreatFabric rapport afslørede sammenhængen

Nu viser ny forskning fra det hollandske mobile sikkerhedsfirma ThreatFabric, at DragonEgg angrebskæder involverer brugen af en trojaniseret Telegram-app, der er designet til at downloade en anden fase af skadelasten (smallmload.jar), som i sin tur er konfigureret til at downloade en tredje komponent kaldet Core.

Yderligere analyse af artefakterne har afsløret, at den Android-version af implantatet har været aktivt vedligeholdt siden mindst den 11. december 2018, med den seneste version frigivet den 13. juli 2023. Dette inkluderer 14 relaterede plugins og kerneimplantatet, der understøtter 24 kommandoer.

Kerne-modulet af LightSpy (dvs. DragonEgg) fungerer som en dirigent-plugin, der er ansvarlig for at indsamle enhedsfingeraftryk, etablere kontakt med en fjernserver, afvente yderligere instruktioner samt opdatere sig selv og plugins.

"LightSpy Core er ekstremt fleksibel i forhold til konfiguration: operatører kan præcist styre spionsoftwaren ved hjælp af den opdaterbare konfiguration," udtalte ThreatFabric og bemærkede, at WebSocket bruges til kommandolevering, og HTTPS bruges til dataudfiltrering.

Nogle af de bemærkelsesværdige plugins inkluderer et lokationsmodul, der sporer ofrenes præcise placeringer, et lydoptagningsmodul, der kan optage omgivende lyd samt WeChat VOIP-lyd samt et faktureringsmodul til at indsamle betalingshistorik fra WeChat Pay.

LightSpys kommandohåndtering (C2) omfatter flere servere placeret i Fastlands-Kina, Hongkong, Taiwan, Singapore og Rusland, hvor skadelig software og WyrmSpy deler den samme infrastruktur.

ThreatFabric sagde også, at de identificerede en server, der hoster data fra 13 unikke telefonnumre tilhørende kinesiske mobiloperatører, hvilket rejser muligheden for, at data enten repræsenterer testnumre for LightSpy-udviklere eller ofre.

Forbindelserne mellem DragonEgg og LightSpy stammer fra ligheder i konfigurationsmønstre, kørselsstruktur og plugins samt C2-kommunikationsformatet. "Måden trusselsaktørgruppen distribuerede den indledende skadelige fase inde i en populær beskedtjeneste var et smart trick," udtalte firmaet.

"Der var flere fordele ved det: implantatet arvede alle adgangstilladelser, som transportørapplikationen havde. I tilfælde af en beskedtjeneste var der mange private tilladelser, såsom adgang til kamera og lager."