網絡安全研究人員近日發現了一款更新版本的LightSpy植入程序，其數據收集功能大幅擴展，能夠從Facebook和Instagram等社交媒體平臺提取信息。LightSpy是一款模塊化間諜軟件，能夠感染Windows和蘋果系統以竊取數據。它最早于2020年被記錄在案，主要針對香港用戶。

LightSpy的功能與擴展

LightSpy能夠收集Wi-Fi網絡信息、截圖、位置、iCloud鑰匙串、錄音、照片、瀏覽器歷史、聯系人、通話記錄、短信，以及來自Files、LINE、Mail Master、Telegram、騰訊QQ、微信和WhatsApp等應用程序的數據。

去年年底，ThreatFabric詳細介紹了該惡意軟件的更新版本，新增了破壞性功能，可阻止受感染設備啟動，同時將其支持的插件數量從12個擴展到28個。此外，之前的研究還發現LightSpy與一款名為DragonEgg的安卓惡意軟件存在潛在的重疊，進一步凸顯了這種威脅的跨平臺性質。

Hunt.io的最新分析揭示，與該間諜軟件相關的惡意命令和控制（C2）基礎設施新增了超過100條指令，涵蓋Android、iOS、Windows、macOS、路由器和Linux。

新指令的焦點轉移與功能增強

Hunt.io指出：“新的指令列表將焦點從直接數據收集轉移到更廣泛的操作控制，包括傳輸管理和插件版本跟蹤。這些新增功能表明LightSpy的框架更加靈活和適應性強，使操作者能夠更高效地管理跨平臺部署。”

值得注意的是，新指令中包含了針對Facebook和Instagram應用程序數據庫文件的功能，能夠從安卓設備中提取數據。然而，有趣的是，攻擊者刪除了與iOS設備上破壞性操作相關的插件。此外，研究人員還發現了15個專門為Windows系統設計的插件，主要用于鍵盤記錄、音頻錄制和USB交互。

Hunt.io還提到，在管理面板中發現了一個端點（“/phone/phoneinfo”），允許登錄用戶遠程控制受感染的移動設備。目前尚不清楚這些功能是新開發的還是之前未記錄的舊版本。

攻擊目標擴展與潛在風險

Hunt.io表示：“從針對消息應用程序轉向Facebook和Instagram，LightSpy擴展了其收集私人消息、聯系人列表和賬戶元數據的能力。提取這些數據庫文件可能為攻擊者提供存儲的對話、用戶連接，甚至與會話相關的數據，從而增強其監控能力并提供進一步利用的機會。”

與此同時，Cyfirma披露了一款名為SpyLend的安卓惡意軟件的詳細信息。這款軟件偽裝成名為“Finance Simplified”（APK名稱為“com.someca.count”）的金融應用程序，在Google Play商店上架，實際上卻從事掠奪性貸款、敲詐和勒索，主要針對印度用戶。

Cyfirma指出：“通過基于位置的定向攻擊，該應用程序展示了一系列完全在WebView中運行的未經授權的貸款應用，使攻擊者能夠繞過Play商店的審查。一旦安裝，這些貸款應用會收集敏感用戶數據，實施剝削性的貸款行為，并采用勒索手段索取錢財。”

針對印度用戶的惡意活動

廣告中提到的部分貸款應用包括KreditPro（前身為KreditApple）、MoneyAPE、StashFur、Fairbalance和PokketMe。對于從印度境外安裝“Finance Simplified”的用戶，該應用程序只顯示一個無害的WebView頁面，列出了各種個人財務、會計和稅務計算器，表明該活動專門針對印度用戶。

目前，這款應用已無法從官方Android應用市場下載。根據Sensor Tower的統計數據，該應用程序發布于2024年12月中旬，累計安裝量超過10萬次。

Cyfirma強調：“這款應用最初表現為一款無害的財務管理工具，但實際上會從外部下載URL下載一款欺詐性貸款應用。一旦安裝，它會獲得廣泛的權限，訪問敏感數據，包括文件、聯系人、通話記錄、短信、剪貼板內容，甚至攝像頭。”

此外，印度零售銀行客戶還成為另一項惡意活動的目標，該活動分發了一款代號為FinStealer的惡意軟件，冒充合法的銀行應用程序，旨在收集登錄憑證并通過未經授權的交易實施金融欺詐。

Cyfirma表示：“這些虛假應用程序通過釣魚鏈接和社會工程手段分發，偽裝成合法的銀行應用，誘騙用戶泄露憑證、財務數據和個人信息。通過Telegram機器人，該惡意軟件可以接收指令并發送被盜數據，而不會引起懷疑，使得安全系統更難檢測和阻止通信。”