网络安全研究人员近日发现了一款更新版本的LightSpy植入程序，其数据收集功能大幅扩展，能够从Facebook和Instagram等社交媒体平台提取信息。LightSpy是一款模块化间谍软件，能够感染Windows和苹果系统以窃取数据。它最早于2020年被记录在案，主要针对香港用户。

LightSpy的功能与扩展

LightSpy能够收集Wi-Fi网络信息、截图、位置、iCloud钥匙串、录音、照片、浏览器历史、联系人、通话记录、短信，以及来自Files、LINE、Mail Master、Telegram、腾讯QQ、微信和WhatsApp等应用程序的数据。

去年年底，ThreatFabric详细介绍了该恶意软件的更新版本，新增了破坏性功能，可阻止受感染设备启动，同时将其支持的插件数量从12个扩展到28个。此外，之前的研究还发现LightSpy与一款名为DragonEgg的安卓恶意软件存在潜在的重叠，进一步凸显了这种威胁的跨平台性质。

Hunt.io的最新分析揭示，与该间谍软件相关的恶意命令和控制（C2）基础设施新增了超过100条指令，涵盖Android、iOS、Windows、macOS、路由器和Linux。

新指令的焦点转移与功能增强

Hunt.io指出：“新的指令列表将焦点从直接数据收集转移到更广泛的操作控制，包括传输管理和插件版本跟踪。这些新增功能表明LightSpy的框架更加灵活和适应性强，使操作者能够更高效地管理跨平台部署。”

值得注意的是，新指令中包含了针对Facebook和Instagram应用程序数据库文件的功能，能够从安卓设备中提取数据。然而，有趣的是，攻击者删除了与iOS设备上破坏性操作相关的插件。此外，研究人员还发现了15个专门为Windows系统设计的插件，主要用于键盘记录、音频录制和USB交互。

Hunt.io还提到，在管理面板中发现了一个端点（“/phone/phoneinfo”），允许登录用户远程控制受感染的移动设备。目前尚不清楚这些功能是新开发的还是之前未记录的旧版本。

攻击目标扩展与潜在风险

Hunt.io表示：“从针对消息应用程序转向Facebook和Instagram，LightSpy扩展了其收集私人消息、联系人列表和账户元数据的能力。提取这些数据库文件可能为攻击者提供存储的对话、用户连接，甚至与会话相关的数据，从而增强其监控能力并提供进一步利用的机会。”

与此同时，Cyfirma披露了一款名为SpyLend的安卓恶意软件的详细信息。这款软件伪装成名为“Finance Simplified”（APK名称为“com.someca.count”）的金融应用程序，在Google Play商店上架，实际上却从事掠夺性贷款、敲诈和勒索，主要针对印度用户。

Cyfirma指出：“通过基于位置的定向攻击，该应用程序展示了一系列完全在WebView中运行的未经授权的贷款应用，使攻击者能够绕过Play商店的审查。一旦安装，这些贷款应用会收集敏感用户数据，实施剥削性的贷款行为，并采用勒索手段索取钱财。”

针对印度用户的恶意活动

广告中提到的部分贷款应用包括KreditPro（前身为KreditApple）、MoneyAPE、StashFur、Fairbalance和PokketMe。对于从印度境外安装“Finance Simplified”的用户，该应用程序只显示一个无害的WebView页面，列出了各种个人财务、会计和税务计算器，表明该活动专门针对印度用户。

目前，这款应用已无法从官方Android应用市场下载。根据Sensor Tower的统计数据，该应用程序发布于2024年12月中旬，累计安装量超过10万次。

Cyfirma强调：“这款应用最初表现为一款无害的财务管理工具，但实际上会从外部下载URL下载一款欺诈性贷款应用。一旦安装，它会获得广泛的权限，访问敏感数据，包括文件、联系人、通话记录、短信、剪贴板内容，甚至摄像头。”

此外，印度零售银行客户还成为另一项恶意活动的目标，该活动分发了一款代号为FinStealer的恶意软件，冒充合法的银行应用程序，旨在收集登录凭证并通过未经授权的交易实施金融欺诈。

Cyfirma表示：“这些虚假应用程序通过钓鱼链接和社会工程手段分发，伪装成合法的银行应用，诱骗用户泄露凭证、财务数据和个人信息。通过Telegram机器人，该恶意软件可以接收指令并发送被盗数据，而不会引起怀疑，使得安全系统更难检测和阻止通信。”

参考来源：

LightSpy Expands to 100+ Commands, Increasing Control Over Windows, macOS, Linux, and Mobile