# LightSpy > Tipo: **malware** · S1185 · [MITRE ATT&CK](https://attack.mitre.org/software/S1185) ## Descrição [[s1185-lightspy|LightSpy]] é uma família de malware móvel modular altamente sofisticada, observada pela primeira vez em 2018 em campanhas direcionadas a ativistas pró-democracia em Hong Kong durante os protestos de 2019-2020. Atribuído ao [[g0096-apt41|APT41]] (também conhecido como Winnti Group ou Double Dragon), o [[s1185-lightspy|LightSpy]] inicialmente visava dispositivos iOS explorados via vulnerabilidades de WebKit, antes de expandir seu alcance para plataformas Android, macOS e, posteriormente, Windows - tornando-se uma das famílias de spyware multiplataforma mais completas documentadas em operações de espionagem atribuídas a atores chineses. A arquitetura modular do [[s1185-lightspy|LightSpy]] é composta por um downloader de primeiro estágio, um implante principal responsável pelas comúnicações de rede criptografadas e plugins carregáveis como arquivos `.dylib` (iOS/macOS) que expandem as capacidades do malware sob demanda. Os módulos disponíveis incluem captura de tela ([[t1113-screen-capture|T1113]]), gravação de áudio via microfone ([[t1123-audio-capture|T1123]]), coleta de credenciais do keychain ([[t1555-001-keychain|T1555.001]]), descoberta de navegadores ([[t1217-browser-information-discovery|T1217]]), descoberta de software instalado ([[t1518-software-discovery|T1518]]) e inventário completo de arquivos e processos. A comunicação C2 utiliza protocolos web ([[t1071-001-web-protocols|T1071.001]]) com exfiltração pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). O [[s1185-lightspy|LightSpy]] incorpora guardrails de execução ([[t1480-execution-guardrails|T1480]]) para limitar a ativação apenas em dispositivos-alvo, minimizando exposição acidental. Os componentes são carregados como módulos compartilhados ([[t1129-shared-modules|T1129]]) com padding binário ([[t1027-001-binary-padding|T1027.001]]) e arquivos criptografados/codificados ([[t1027-013-encryptedencoded-file|T1027.013]]) para evasão. Uma variante avançada identificada em 2024 - denominada LightSpy F_Warehouse - ampliou significativamente o conjunto de plugins, incluindo capacidade de gravar chamadas VoIP no WeChat, rastrear localização GPS e coletar histórico de chamadas. **Plataformas:** Android, Windows, iOS, macOS ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1555-001-keychain|T1555.001 - Keychain]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1129-shared-modules|T1129 - Shared Modules]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1027-001-binary-padding|T1027.001 - Binary Padding]] - [[t1518-software-discovery|T1518 - Software Discovery]] ## Grupos que Usam - [[g0096-apt41|APT41]] ## Detecção A detecção do [[s1185-lightspy|LightSpy]] em dispositivos móveis e desktop requer abordagens distintas por plataforma. Em iOS/macOS: verificação de jáilbreak/modificações não-autorizadas do sistema; presença de arquivos .dylib não assinados em diretórios do sistema; e comunicação de rede de processos do sistema para servidores externos. Em Android: análise de permissões excessivas (microfone, câmera, localização, SMS) por apps instalados fora da Play Store; e módulos .apk carregados dinâmicamente detectáveis por MDM corporativo. Em Windows: monitoramento de módulos carregados como shared modules ([[t1129-shared-modules|T1129]]) por processos do sistema sem assinatura válida. Guardrails de execução ([[t1480-execution-guardrails|T1480]]) implementados pelo [[s1185-lightspy|LightSpy]] podem causar falsos negativos em sandboxes que não replicam exatamente o ambiente-alvo - análise forense de dispositivos comprometidos reais é mais eficaz. A Blackberry Cylance e a TrendMicro públicaram relatórios técnicos detalhados com IOCs, hashes de módulos e domínios/IPs de infraestrutura C2 do [[s1185-lightspy|LightSpy]] que podem ser importados em plataformas de threat intelligence. ## Relevância LATAM/Brasil O [[s1185-lightspy|LightSpy]] foi inicialmente direcionado a ativistas em Hong Kong e expandiu-se para alvos no Sul e Sudeste Asiático. A relevância para o Brasil está crescendo em dois vetores: (1) a comunidade diasporosa chinesa no Brasil e organizações de defesa de direitos humanos relacionadas à China podem ser alvos de spyware similar como ferramenta de monitoramento de dissidentes; (2) executivos brasileiros de empresas com operações significativas na China - especialmente em setores estratégicos como agronegócio, mineração e energia - representam alvos de valor para espionagem corporativa via dispositivos móveis comprometidos. A proliferação de spyware móvel sofisticado como o [[s1185-lightspy|LightSpy]] é uma tendência de ameaça crescente no cenário global de 2024-2025. ## Referências - [MITRE ATT&CK - S1185](https://attack.mitre.org/software/S1185)