Le logiciel espion iOS LightSpy lié à la Chine cible les utilisateurs d’iPhone d’Asie du Sud
Des chercheurs en cybersécurité ont découvert une campagne de cyberespionnage « renouvelée » ciblant les utilisateurs d’Asie du Sud dans le but de fournir un implant de logiciel espion Apple iOS appelé LightSpy .
“La dernière itération de LightSpy, baptisée ‘F_Warehouse’, dispose d’un cadre modulaire doté de fonctionnalités d’espionnage étendues”, a déclaré l’équipe BlackBerry Threat Research and Intelligence dans un rapport publié la semaine dernière.
Il existe des preuves suggérant que la campagne aurait pu cibler l’Inde sur la base des soumissions de VirusTotal provenant de ses frontières.
Documenté pour la première fois en 2020 par Trend Micro et Kaspersky, LightSpy fait référence à une porte dérobée iOS avancée distribuée via des attaques de point d’eau via des sites d’information compromis.
Une analyse ultérieure de ThreatFabric en octobre 2023 a révélé des chevauchements d’infrastructures et de fonctionnalités entre le malware et un logiciel espion Android connu sous le nom de DragonEgg, attribué au groupe d’États-nations chinois APT41 (alias Winnti).
Le vecteur d’intrusion initial n’est pas connu pour l’instant, bien qu’il soit soupçonné de provenir de sites d’information qui ont été piratés et que l’on sait être régulièrement visités par les cibles.
Le point de départ est un chargeur de premier étage qui agit comme une rampe de lancement pour la porte dérobée principale de LightSpy et ses divers plugins qui sont récupérés à partir d’un serveur distant pour exécuter les fonctions de collecte de données.
/>LightSpy est à la fois complet et modulaire, permettant aux acteurs malveillants de récolter des informations sensibles, notamment des contacts, des messages SMS, des données de localisation précises et des enregistrements sonores lors d’appels VoIP.
La dernière version découverte par la société canadienne de cybersécurité étend encore ses capacités à voler des fichiers ainsi que des données d’applications populaires telles que Telegram, QQ et WeChat, les données du trousseau iCloud et l’historique du navigateur Web de Safari et Google Chrome.
Le cadre d’espionnage complexe offre également des capacités permettant de rassembler une liste des réseaux Wi-Fi connectés, des détails sur les applications installées, de prendre des photos à l’aide de l’appareil photo de l’appareil, d’enregistrer de l’audio et d’exécuter des commandes shell reçues du serveur, lui permettant probablement de détourner le contrôle du système. appareils infectés.
“LightSpy utilise l’épinglage de certificat pour empêcher la détection et l’interception des communications avec son serveur de commande et de contrôle (C2),” a déclaré Blackberry. “Ainsi, si la victime se trouve sur un réseau où le trafic est analysé, aucune connexion au serveur C2 ne sera établie.”
Un examen plus approfondi du code source de l’implant suggère l’implication de locuteurs natifs chinois, soulevant la possibilité d’une activité parrainée par l’État. De plus, LightSpy communique avec un serveur situé à 103.27[.]109[.]217, qui héberge également un panneau d’administrateur qui affiche un message d’erreur en chinois lors de la saisie d’informations de connexion incorrectes.
Cette évolution intervient alors qu’Apple a déclaré avoir envoyé des notifications de menaces à des utilisateurs de 92 pays, y compris l’Inde, indiquant qu’ils pourraient avoir été ciblés par des attaques de logiciels espions mercenaires.
“Le retour de LightSpy, désormais équipé du framework polyvalent ‘F_Warehouse’, signale une escalade des menaces d’espionnage mobile”, a déclaré BlackBerry.
« Les capacités étendues du logiciel malveillant, notamment l’exfiltration de données étendue, la surveillance audio et le contrôle potentiel complet des appareils, représentent un risque grave pour les individus et les organisations ciblés en Asie du Sud. »