Pesquisadores de segurança cibernética descobriram uma versão melhorada de um spy ware Apple iOS chamado LightSpy, que não apenas expande sua funcionalidade, mas também incorpora recursos destrutivos para impedir a inicialização do dispositivo comprometido.
“Embora o método de entrega de implante do iOS espelhe de perto o da versão macOS, os estágios pós-exploração e escalonamento de privilégios diferem significativamente devido às diferenças de plataforma”, disse ThreatFabric em uma análise publicada esta semana.
LightSpy, documentado pela primeira vez em 2020 como direcionado a usuários em Hong Kong, é um implante modular que emprega uma arquitetura baseada em plug-ins para aumentar seus recursos e permitir a captura de uma ampla gama de informações confidenciais de um dispositivo infectado.
As cadeias de ataque que distribuem o malware aproveitam falhas de segurança conhecidas no Apple iOS e macOS para acionar uma exploração do WebKit que descarta um arquivo com a extensão “.PNG”, mas na verdade é um binário Mach-O responsável por recuperar cargas úteis do próximo estágio de um servidor remoto abusando de uma falha de corrupção de memória rastreada como CVE-2020-3837.
Isso inclui um componente chamado FrameworkLoader que, por sua vez, baixa o módulo Core do LightSpy e seus diversos plug-ins, que aumentaram significativamente de 12 para 28 na versão mais recente (7.9.0).
“Depois que o Core for iniciado, ele realizará uma verificação de conectividade com a Web usando o domínio Baidu.com e, em seguida, verificará os argumentos que foram passados do FrameworkLoader como os dados (comando e controle) e o diretório de trabalho”, disse o segurança holandês. disse a empresa.
“Usando o caminho do diretório de trabalho /var/containers/Bundle/AppleAppLit/, o Core criará subpastas para logs, banco de dados e dados exfiltrados.”
Os plug-ins podem capturar uma ampla gama de dados, incluindo informações de rede Wi-Fi, capturas de tela, localização, iCloud Keychain, gravações de som, fotos, histórico do navegador, contatos, histórico de chamadas e mensagens SMS, bem como coletar informações de aplicativos como Arquivos , LINE, Mail Grasp, Telegram, Tencent QQ, WeChat e WhatsApp.
Alguns dos plug-ins recém-adicionados também possuem recursos destrutivos que podem excluir arquivos de mídia, mensagens SMS, perfis de configuração de rede Wi-Fi, contatos e histórico do navegador, e até mesmo congelar o dispositivo e impedir que ele seja reiniciado. Além disso, os plug-ins LightSpy podem gerar notificações push falsas contendo um URL específico.
O veículo exato de distribuição do spy ware não é claro, embora se acredite que seja orquestrado por meio de ataques watering gap. As campanhas não foram atribuídas a um ator ou grupo de ameaça conhecido até o momento.
No entanto, há algumas evidências de que os operadores provavelmente estão baseados na China devido ao fato de que o plugin de localização “recalcula as coordenadas de localização de acordo com um sistema usado exclusivamente na China”. É importante notar que os provedores de serviços de mapas chineses seguem um sistema de coordenadas chamado GCJ-02.
“O caso do LightSpy iOS destaca a importância de manter os sistemas atualizados”, disse ThreatFabric. “Os agentes de ameaças por trás do LightSpy monitoram de perto as publicações de pesquisadores de segurança, reutilizando explorações recentemente divulgadas para entregar cargas úteis e aumentar privilégios nos dispositivos afetados.”
