间谍软件LightSpy升级：新增100+指令，跨平台控制能力大幅提升

网络安全研究人员近日发现了一款更新版本的间谍LightSpy植入程序，其数据收集功能大幅扩展，软件能够从Facebook和Instagram等社交媒体平台提取信息。升级升LightSpy是新增一款模块化间谍软件，能够感染Windows和苹果系统以窃取数据。指令制它最早于2020年被记录在案 ，跨平主要针对香港用户 。台控

LightSpy的幅提功能与扩展

LightSpy能够收集Wi-Fi网络信息、截图、间谍位置、软件iCloud钥匙串、升级升录音 、新增照片、指令制浏览器历史 、模板下载跨平联系人  、台控通话记录、短信
，以及来自Files、LINE、Mail Master 、Telegram 、腾讯QQ、微信和WhatsApp等应用程序的数据。

去年年底，ThreatFabric详细介绍了该恶意软件的更新版本，新增了破坏性功能，可阻止受感染设备启动
，同时将其支持的香港云服务器插件数量从12个扩展到28个。此外，之前的研究还发现LightSpy与一款名为DragonEgg的安卓恶意软件存在潜在的重叠
，进一步凸显了这种威胁的跨平台性质。

Hunt.io的最新分析揭示，与该间谍软件相关的恶意命令和控制（C2）基础设施新增了超过100条指令 ，涵盖Android 、iOS、Windows、macOS、亿华云路由器和Linux 。

新指令的焦点转移与功能增强

Hunt.io指出：“新的指令列表将焦点从直接数据收集转移到更广泛的操作控制 ，包括传输管理和插件版本跟踪。这些新增功能表明LightSpy的框架更加灵活和适应性强 ，使操作者能够更高效地管理跨平台部署。”

值得注意的是，新指令中包含了针对Facebook和Instagram应用程序数据库文件的功能，能够从安卓设备中提取数据。然而
，免费模板有趣的是，攻击者删除了与iOS设备上破坏性操作相关的插件。此外，研究人员还发现了15个专门为Windows系统设计的插件，主要用于键盘记录、音频录制和USB交互。

Hunt.io还提到，在管理面板中发现了一个端点（“/phone/phoneinfo”），允许登录用户远程控制受感染的移动设备
 。目前尚不清楚这些功能是新开发的源码库还是之前未记录的旧版本  。

攻击目标扩展与潜在风险

Hunt.io表示
：“从针对消息应用程序转向Facebook和Instagram ，LightSpy扩展了其收集私人消息、联系人列表和账户元数据的能力。提取这些数据库文件可能为攻击者提供存储的对话、用户连接 ，甚至与会话相关的数据，从而增强其监控能力并提供进一步利用的机会。”

与此同时 ，Cyfirma披露了一款名为SpyLend的建站模板安卓恶意软件的详细信息。这款软件伪装成名为“Finance Simplified”（APK名称为“com.someca.count”）的金融应用程序
，在Google Play商店上架 ，实际上却从事掠夺性贷款 、敲诈和勒索，主要针对印度用户 。

Cyfirma指出 ：“通过基于位置的定向攻击，该应用程序展示了一系列完全在WebView中运行的未经授权的贷款应用，使攻击者能够绕过Play商店的审查。一旦安装，这些贷款应用会收集敏感用户数据，实施剥削性的贷款行为，并采用勒索手段索取钱财。”

针对印度用户的恶意活动

广告中提到的部分贷款应用包括KreditPro（前身为KreditApple）、MoneyAPE 、StashFur 、Fairbalance和PokketMe。对于从印度境外安装“Finance Simplified”的用户
，该应用程序只显示一个无害的WebView页面 ，列出了各种个人财务、会计和税务计算器，表明该活动专门针对印度用户 。

目前，这款应用已无法从官方Android应用市场下载。根据Sensor Tower的统计数据 ，该应用程序发布于2024年12月中旬 ，累计安装量超过10万次 。

Cyfirma强调：“这款应用最初表现为一款无害的财务管理工具，但实际上会从外部下载URL下载一款欺诈性贷款应用
。一旦安装，它会获得广泛的权限，访问敏感数据  ，包括文件
、联系人、通话记录 、短信、剪贴板内容，甚至摄像头。”

此外，印度零售银行客户还成为另一项恶意活动的目标，该活动分发了一款代号为FinStealer的恶意软件，冒充合法的银行应用程序，旨在收集登录凭证并通过未经授权的交易实施金融欺诈
。

Cyfirma表示：“这些虚假应用程序通过钓鱼链接和社会工程手段分发，伪装成合法的银行应用 ，诱骗用户泄露凭证 、财务数据和个人信息。通过Telegram机器人，该恶意软件可以接收指令并发送被盗数据 ，而不会引起怀疑
 ，使得安全系统更难检测和阻止通信。”