DragonEgg, cùng với WyrmSpy (còn gọi là AndroidControl), lần đầu tiên được Lookout phát hiện và tiết lộ vào tháng 7/2023. Nó là một loại phần mềm độc hại có khả năng thu thập dữ liệu nhạy cảm từ các thiết bị Android. Sau khi được cài đặt, cả hai loại phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và lọc dữ liệu phức tạp, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng. DragonEgg đã được phát hiện dựa trên các mô-đun được tải xuống từ máy chủ chỉ huy và kiểm soát (C2) ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.

Mặt khác, thông tin chi tiết về phần mềm độc hại LightSpy được đưa ra ánh sáng vào tháng 3/2020 như một phần của chiến dịch Operation Poisoned News - đây là chiến dịch nhắm mục tiêu vào người dùng iPhone ở Hồng Kông bằng cách sử dụng các liên kết trang web độc hại để dụ người dùng cài đặt phần mềm gián điệp trên thiết bị.

Theo công ty bảo mật di động ThreatFabric (Hà Lan) cho biết, họ đã thực hiện cuộc điều tra và đưa ra kết luận rằng DragonEgg chính là phiên bản cập nhật của LightSpy và được phát hành vào ngày 13/7/2023.

Cấu trúc hoạt động của LightSpy

Mô-đun cốt lõi của LightSpy (tức là DragonEgg) hoạt động như một plugin điều phối chịu trách nhiệm thu thập dấu vân tay của thiết bị, thiết lập liên lạc với máy chủ từ xa, chờ hướng dẫn thêm và tự cập nhật.

ThreatFabric cho biết: “LightSpy cực kỳ linh hoạt về mặt cấu hình, các tin tặc có thể kiểm soát chính xác phần mềm gián điệp bằng cách sử dụng cấu hình có thể cập nhật”, đồng thời lưu ý rằng WebSocket được sử dụng để phân phối lệnh và HTTPS được sử dụng để lọc dữ liệu.

Một số plugin đáng chú ý của LightSpry:

• Plugin vị trí: chịu trách nhiệm theo dõi vị trí của nạn nhân. Tin tặc có thể yêu cầu vị trí hiện tại dưới dạng ảnh chụp nhanh hoặc có thể thiết lập theo dõi vị trí trong các khoảng thời gian được chỉ định.
• Plugin ghi âm: ghi âm micro bằng lệnh trong khoảng thời gian được chỉ định, hoặc có thể ghi âm micro trong trường hợp có cuộc gọi điện thoại đến. Plugin này cũng có khả năng ghi âm lại các cuộc hội thoại âm thanh WeChat VOIP.
• Plugin hóa đơn: thu thập thông tin lịch sử thanh toán hóa đơn của nạn nhân từ WeChat Pay.

Theo các nhà nghiên cứu, hệ thống C2 của LightSpy bao gồm một số máy chủ đặt tại Trung Quốc, Hồng Kông, Đài Loan, Singapore và Nga.

ThreatFabric cho biết họ cũng xác định được một máy chủ lưu trữ dữ liệu từ 13 số điện thoại duy nhất của các nhà khai thác điện thoại di động Trung Quốc, làm tăng khả năng dữ liệu đại diện cho số thử nghiệm của các nhà phát triển LightSpy hoặc của nạn nhân.