间谍软件LightSpy升级：新增100+指令，跨平台控制能力大幅提升

网络安全研究人员近日发现了一款更新版本的间谍LightSpy植入程序，其数据收集功能大幅扩展 ，软件能够从Facebook和Instagram等社交媒体平台提取信息 。升级升LightSpy是新增一款模块化间谍软件
，能够感染Windows和苹果系统以窃取数据
。指令制它最早于2020年被记录在案，跨平主要针对香港用户。台控

LightSpy的幅提功能与扩展

LightSpy能够收集Wi-Fi网络信息 、截图、间谍位置 、软件iCloud钥匙串、升级升录音
、新增照片、指令制浏览器历史、服务器租用跨平联系人 、台控通话记录、短信 ，以及来自Files、LINE、Mail Master 、Telegram、腾讯QQ 、微信和WhatsApp等应用程序的数据 。

去年年底，ThreatFabric详细介绍了该恶意软件的更新版本，新增了破坏性功能，可阻止受感染设备启动，同时将其支持的源码下载插件数量从12个扩展到28个 。此外，之前的研究还发现LightSpy与一款名为DragonEgg的安卓恶意软件存在潜在的重叠  ，进一步凸显了这种威胁的跨平台性质 。

Hunt.io的最新分析揭示
，与该间谍软件相关的恶意命令和控制（C2）基础设施新增了超过100条指令，涵盖Android、iOS 、Windows
、macOS、云计算路由器和Linux 。

新指令的焦点转移与功能增强

Hunt.io指出：“新的指令列表将焦点从直接数据收集转移到更广泛的操作控制，包括传输管理和插件版本跟踪 。这些新增功能表明LightSpy的框架更加灵活和适应性强，使操作者能够更高效地管理跨平台部署 。”

值得注意的是，新指令中包含了针对Facebook和Instagram应用程序数据库文件的功能 ，能够从安卓设备中提取数据。然而 ，亿华云有趣的是 ，攻击者删除了与iOS设备上破坏性操作相关的插件。此外
，研究人员还发现了15个专门为Windows系统设计的插件 
，主要用于键盘记录、音频录制和USB交互 。

Hunt.io还提到
，在管理面板中发现了一个端点（“/phone/phoneinfo”） ，允许登录用户远程控制受感染的移动设备。目前尚不清楚这些功能是新开发的免费模板还是之前未记录的旧版本。

攻击目标扩展与潜在风险

Hunt.io表示 ：“从针对消息应用程序转向Facebook和Instagram，LightSpy扩展了其收集私人消息、联系人列表和账户元数据的能力 。提取这些数据库文件可能为攻击者提供存储的对话 、用户连接，甚至与会话相关的数据
，从而增强其监控能力并提供进一步利用的机会。”

与此同时，Cyfirma披露了一款名为SpyLend的香港云服务器安卓恶意软件的详细信息 。这款软件伪装成名为“Finance Simplified”（APK名称为“com.someca.count”）的金融应用程序，在Google Play商店上架 ，实际上却从事掠夺性贷款 、敲诈和勒索，主要针对印度用户。

Cyfirma指出：“通过基于位置的定向攻击，该应用程序展示了一系列完全在WebView中运行的未经授权的贷款应用，使攻击者能够绕过Play商店的审查。一旦安装，这些贷款应用会收集敏感用户数据，实施剥削性的贷款行为 ，并采用勒索手段索取钱财。”

针对印度用户的恶意活动

广告中提到的部分贷款应用包括KreditPro（前身为KreditApple）
、MoneyAPE、StashFur、Fairbalance和PokketMe。对于从印度境外安装“Finance Simplified”的用户，该应用程序只显示一个无害的WebView页面
，列出了各种个人财务、会计和税务计算器，表明该活动专门针对印度用户 。

目前 ，这款应用已无法从官方Android应用市场下载 。根据Sensor Tower的统计数据，该应用程序发布于2024年12月中旬，累计安装量超过10万次 。

Cyfirma强调：“这款应用最初表现为一款无害的财务管理工具，但实际上会从外部下载URL下载一款欺诈性贷款应用 。一旦安装  ，它会获得广泛的权限，访问敏感数据，包括文件、联系人 、通话记录、短信、剪贴板内容
，甚至摄像头。”

此外，印度零售银行客户还成为另一项恶意活动的目标 ，该活动分发了一款代号为FinStealer的恶意软件，冒充合法的银行应用程序，旨在收集登录凭证并通过未经授权的交易实施金融欺诈。

Cyfirma表示 ：“这些虚假应用程序通过钓鱼链接和社会工程手段分发，伪装成合法的银行应用 ，诱骗用户泄露凭证、财务数据和个人信息
。通过Telegram机器人，该恶意软件可以接收指令并发送被盗数据，而不会引起怀疑，使得安全系统更难检测和阻止通信 。”