Pesquisadores de segurança cibernética descobriram uma versão melhorada do spyware Apple iOS, chamada LightSpy, que não apenas estende sua funcionalidade, mas também inclui recursos destrutivos para impedir a inicialização do dispositivo comprometido.
“Embora o método de entrega da instalação do iOS seja muito semelhante ao da versão macOS, os estágios de exploração e elevação de privilégios diferem significativamente devido às diferenças de plataforma”, disse ThreatFabric em análise publicada esta semana.
LightSpy, que começou a gravar em 2020 como usuários direcionados em Hong Kong, é uma instalação modular que usa uma arquitetura baseada em plug-ins para expandir seus recursos e permitir a captura de uma ampla gama de informações confidenciais de um dispositivo infectado.
As cadeias de ataque que distribuem o malware exploram falhas de segurança conhecidas no Apple iOS e macOS para lançar uma exploração do WebKit que descarta um arquivo com a extensão “.PNG”, mas na verdade é um binário Mach-O responsável por recuperar o upload do próximo estágio de um servidor remoto. explorando um bug de corrupção de memória rastreado como CVE-2020-3837.
Isso inclui um componente chamado FrameworkLoader, que, por sua vez, baixa o módulo Core do LightSpy e seus diversos plugins, que aumentou significativamente de 12 para 28 na versão mais recente (7.9.0).
“Depois que o Core for iniciado, ele realizará uma verificação de conexão com a Internet usando o domínio Baidu.com e, em seguida, verificará os argumentos passados ao FrameworkLoader, como [command-and-control] dados e documentos operacionais”, disse a empresa de segurança holandesa.
“Usando o caminho do diretório de trabalho /var/containers/Bundle/AppleAppLit/, o Core criará subpastas para logs, bancos de dados e dados filtrados.”
Os plug-ins podem capturar uma ampla variedade de dados, incluindo informações de rede Wi-Fi, capturas de tela, localização, iCloud Keychain, gravações de áudio, fotos, histórico do navegador, contatos, histórico de chamadas e mensagens SMS, bem como coletar informações de aplicativos como arquivos . , LINE, Mail Master, Telegram, Tencent QQ, WeChat e WhatsApp.
Alguns plug-ins recém-adicionados também possuem recursos destrutivos que podem excluir arquivos de mídia, mensagens SMS, perfis de configuração de rede Wi-Fi, contatos e histórico do navegador, até mesmo congelando o dispositivo e impedindo-o de reiniciar. Além disso, os plug-ins LightSpy podem criar notificações falsas que contêm um URL específico.
O veículo exato de distribuição deste spyware não é claro, embora se acredite que seja organizado através de ataques em bacias hidrográficas. As campanhas não foram feitas para um ator ou grupo conhecido até agora.
No entanto, há algumas evidências de que os operadores podem estar baseados na China porque o plugin local “recalcula as coordenadas locais de acordo com um sistema usado apenas na China”. É importante notar que os provedores de serviços de mapas da China seguem um sistema de coordenadas denominado GCJ-02.
“O caso do LightSpy iOS destaca a importância de manter os aplicativos atualizados”, disse ThreatFabric. “Os atores maliciosos por trás do LightSpy monitoram cuidadosamente as publicações dos pesquisadores de segurança, reutilizando explorações recentemente divulgadas para entregar cargas úteis e escalar privilégios para os dispositivos afetados.”
