DragonEgg, cùng với WyrmSpy (còn gọi là AndroidControl), lần đầu tiên được Lookout phát hiện và tiết lộ vào tháng 7/2023. Nó là một loại phần mềm độc hại có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị Android. Sau khi được cài đặt, cả hai loại phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và lọc dữ liệu phức tạp, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng. DragonEgg đã được phát hiện dựa trên các mô-đun được tải xuống từ máy chủ chỉ huy và kiểm soát (C2) ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.
Mặt khác, thông tin chi tiết về phần mềm độc hại LightSpy được đưa ra ánh sáng vào tháng 3/2020 như một phần của chiến dịch Operation Poisoned News - đây là chiến dịch nhắm mục tiêu vào người dùng iPhone ở Hồng Kông bằng cách sử dụng các liên kết trang web độc hại để dụ người dùng cài đặt phần mềm gián điệp trên thiết bị.
Theo công ty bảo mật di động ThreatFabric (Hà Lan) cho biết, họ đã thực hiện cuộc điều tra và đưa ra kết luận rằng DragonEgg chính là phiên bản cập nhật của LightSpy và được phát hành vào ngày 13/7/2023.
Cấu trúc hoạt động của LightSpy
Mô-đun cốt lõi của LightSpy (tức là DragonEgg) hoạt động như một plugin điều phối chịu trách nhiệm thu thập dấu vân tay của thiết bị, thiết lập liên lạc với máy chủ từ xa, chờ hướng dẫn thêm và tự cập nhật.
ThreatFabric cho biết: “LightSpy cực kỳ linh hoạt về mặt cấu hình, các tin tặc có thể kiểm soát chính xác phần mềm gián điệp bằng cách sử dụng cấu hình có thể cập nhật”, đồng thời lưu ý rằng WebSocket được sử dụng để phân phối lệnh và HTTPS được sử dụng để lọc dữ liệu.
Một số plugin đáng chú ý của LightSpry:
Theo các nhà nghiên cứu, hệ thống C2 của LightSpy bao gồm một số máy chủ đặt tại Trung Quốc, Hồng Kông, Đài Loan, Singapore và Nga.
ThreatFabric cho biết họ cũng xác định được một máy chủ lưu trữ dữ liệu từ 13 số điện thoại duy nhất của các nhà khai thác điện thoại di động Trung Quốc, làm tăng khả năng dữ liệu đại diện cho số thử nghiệm của các nhà phát triển LightSpy hoặc của nạn nhân.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
23:00 | 28/09/2023
14:00 | 27/11/2024
09:00 | 17/07/2023
10:00 | 05/10/2023
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
09:00 | 08/01/2025
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025