DragonEgg, cùng với WyrmSpy (còn gọi là AndroidControl), lần đầu tiên được Lookout phát hiện và tiết lộ vào tháng 7/2023. Nó là một loại phần mềm độc hại có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị Android. Sau khi được cài đặt, cả hai loại phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và lọc dữ liệu phức tạp, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng. DragonEgg đã được phát hiện dựa trên các mô-đun được tải xuống từ máy chủ chỉ huy và kiểm soát (C2) ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.
Mặt khác, thông tin chi tiết về phần mềm độc hại LightSpy được đưa ra ánh sáng vào tháng 3/2020 như một phần của chiến dịch Operation Poisoned News - đây là chiến dịch nhắm mục tiêu vào người dùng iPhone ở Hồng Kông bằng cách sử dụng các liên kết trang web độc hại để dụ người dùng cài đặt phần mềm gián điệp trên thiết bị.
Theo công ty bảo mật di động ThreatFabric (Hà Lan) cho biết, họ đã thực hiện cuộc điều tra và đưa ra kết luận rằng DragonEgg chính là phiên bản cập nhật của LightSpy và được phát hành vào ngày 13/7/2023.
Cấu trúc hoạt động của LightSpy
Mô-đun cốt lõi của LightSpy (tức là DragonEgg) hoạt động như một plugin điều phối chịu trách nhiệm thu thập dấu vân tay của thiết bị, thiết lập liên lạc với máy chủ từ xa, chờ hướng dẫn thêm và tự cập nhật.
ThreatFabric cho biết: “LightSpy cực kỳ linh hoạt về mặt cấu hình, các tin tặc có thể kiểm soát chính xác phần mềm gián điệp bằng cách sử dụng cấu hình có thể cập nhật”, đồng thời lưu ý rằng WebSocket được sử dụng để phân phối lệnh và HTTPS được sử dụng để lọc dữ liệu.
Một số plugin đáng chú ý của LightSpry:
Theo các nhà nghiên cứu, hệ thống C2 của LightSpy bao gồm một số máy chủ đặt tại Trung Quốc, Hồng Kông, Đài Loan, Singapore và Nga.
ThreatFabric cho biết họ cũng xác định được một máy chủ lưu trữ dữ liệu từ 13 số điện thoại duy nhất của các nhà khai thác điện thoại di động Trung Quốc, làm tăng khả năng dữ liệu đại diện cho số thử nghiệm của các nhà phát triển LightSpy hoặc của nạn nhân.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
23:00 | 28/09/2023
14:00 | 27/11/2024
09:00 | 17/07/2023
10:00 | 05/10/2023
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
08:00 | 22/12/2024
Trang web chuyên đăng tải các bài báo về phòng chống lừa đảo mạng Scam Sniffer cho biết, trong thời gian gần đây kẻ tấn công đã cài phần mềm chứa mã độc vào các trang web giả mạo được lập ra với mục đích để xác thực tài khoản Telegram của người dùng.
10:00 | 25/11/2024
Apple vừa phát hành bản cập nhật iOS 18.1.1 và macOS 15.1.1 để khắc phục hai lỗ hổng bảo mật nguy hiểm, đồng thời khuyến cáo người dùng iPhone nên cập nhật càng sớm càng tốt.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025