DragonEgg, cùng với WyrmSpy (còn gọi là AndroidControl), lần đầu tiên được Lookout phát hiện và tiết lộ vào tháng 7/2023. Nó là một loại phần mềm độc hại có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị . Sau khi được cài đặt, cả hai loại phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và lọc dữ liệu phức tạp, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng. DragonEgg đã được phát hiện dựa trên các mô-đun được tải xuống từ máy chủ chỉ huy và kiểm soát (C2) ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.
Mặt khác, thông tin chi tiết về phần mềm độc hại LightSpy được đưa ra ánh sáng vào tháng 3/2020 như một phần của chiến dịch Operation Poisoned News - đây là chiến dịch nhắm mục tiêu vào người dùng ở Hồng Kông bằng cách sử dụng các liên kết trang web độc hại để dụ người dùng cài đặt phần mềm gián điệp trên thiết bị.
Theo công ty bảo mật di động ThreatFabric (Hà Lan) cho biết, họ đã thực hiện cuộc điều tra và đưa ra kết luận rằng DragonEgg chính là phiên bản cập nhật của LightSpy và được phát hành vào ngày 13/7/2023.
Cấu trúc hoạt động của LightSpy
Mô-đun cốt lõi của LightSpy (tức là DragonEgg) hoạt động như một plugin điều phối chịu trách nhiệm thu thập dấu vân tay của thiết bị, thiết lập liên lạc với máy chủ từ xa, chờ hướng dẫn thêm và tự cập nhật.
ThreatFabric cho biết: “LightSpy cực kỳ linh hoạt về mặt cấu hình, các tin tặc có thể kiểm soát chính xác phần mềm gián điệp bằng cách sử dụng cấu hình có thể cập nhật”, đồng thời lưu ý rằng WebSocket được sử dụng để phân phối lệnh và HTTPS được sử dụng để lọc dữ liệu.
Một số plugin đáng chú ý của LightSpry:
Theo các nhà nghiên cứu, hệ thống C2 của LightSpy bao gồm một số máy chủ đặt tại Trung Quốc, Hồng Kông, Đài Loan, Singapore và Nga.
ThreatFabric cho biết họ cũng xác định được một máy chủ lưu trữ dữ liệu từ 13 số điện thoại duy nhất của các nhà khai thác điện thoại Trung Quốc, làm tăng khả năng dữ liệu đại diện cho số thử nghiệm của các nhà phát triển LightSpy hoặc của nạn nhân.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
23:00 | 28/09/2023
09:00 | 17/07/2023
10:00 | 05/10/2023
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024