Hakeri često ciljaju iOS zbog njegove korisničke baze i uočenih sigurnosnih propusta. Uprkos Appleovim robusnim sigurnosnim mjerama, nedostatke u OS-u i aplikacijama trećih strana mogu iskoristiti akteri prijetnji koji im omogućavaju da dobiju “neovlašteni pristup” uređajima.
ThreatFabric istraživači su nedavno otkrili da je LightSpy iOS malver nadograđen tako da uključuje 28 dodataka sa destruktivnim mogućnostima.
LightSpy iOS malver je nadograđen
U maju 2024. godine, kompanija za sajber sigurnost ThreatFabric otkrila je značajan napredak u ekosistemu maliciznog softvera LightSpy koji je predstavio „jedinstvenu serversku infrastrukturu“ koja je usmjerila i „macOS“ i „iOS“ kampanje.
Njihova istraga je identifikovala naprednu verziju “LightSpy” za iOS (verzija 7.9.0, nadogradnja sa verzije 6.0.0), koja je pokazala značajna poboljšanja u svojim malicioznim mogućnostima.
Arhitektura maliciznog softvera proširena je na 28 različitih dodataka (povećano u odnosu na originalnih 12), sa sedam posebno dizajniranih dodataka sposobnih da ometaju rad uređaja, posebno ciljajući proces pokretanja putem komandi poput “/usr/sbin/nvram auto-boot=false”.
Ovdje ispod smo spomenuli svih 28 dodataka:-
- AppDelete
- BaseInfo
- Bootdestroy
- Browser
- BrowserDelete
- cameramodule
- ContactDelete
- DeleteKernelFile
- DeleteSpring
- EnvironmentalRecording
- FileManage
- ios_line
- ios_mail
- ios_qq
- ios_telegram
- ios_wechat
- ios_whatsapp
- KeyChain
- landevices
- Lokacija
- MediaDelete
- PushMessage
- Screen_cap
- ShellCommand
- SMSDelete
- SoftInfo
- WifiDelete
- WifiList
Hakeri su proširili svoj doseg podržavanjem iOS verzija do 13.3, koristeći dvije kritične sigurnosne ranjivosti:-
- ‘CVE-2020-9802’ za početni pristup sistemu putem eksploatacije WebKit-a.
- ‘CVE-2020-3837’ za sticanje povišenih sistemskih privilegija.
Malicizni softver je održavao komunikaciju preko pet aktivnih “C2” servera koristeći “WebSocket veze” za prijenos podataka, s najnovijom vremenskom oznakom implementacije zabilježenom 26. oktobra 2022.
Lanac zaraze započeo je „sistemom za isporuku eksploatacija zasnovanim na HTML-u“, nakon čega je uslijedila faza jailbreak-a koja je implementirala „FrameworkLoader“ (također poznat kao „ircloader“), koji je potom olakšao instalaciju glavnog „LightSpy Core“-a i njegovih dodataka.
Osim toga, značajne karakteristike uključuju “AES ECB enkripciju” sa ključem “3e2717e8b3873b29” za “podatke o konfiguraciji”, “implementaciju SQL baze podataka za skladištenje komandi” (koristeći light.db) i “sofisticirane dodatke”.
Dodaci su ‘ios_mail’ koji ciljaju NetEase-ovu aplikaciju Mail Master za narušvanje e-pošte i ‘PushMessage’ za generisanje obmanjujućih push obavijesti preko porta 8087.
LightSpy radi preko IP adrese “103.27.109[.]217” i koristi “samopotpisane SSL sertifikate” za svoju “C2” infrastrukturu.
Maliciozni softver je koristio “jednodnevne eksploatacije” (javno otkrivene ranjivosti) i tehniku “rootless Jailbreak” koja ne postoji nakon ponovnog pokretanja uređaja ciljajući određene “iOS verzije” putem napada na vodu (narušene legitimne web stranice).
Infrastruktura je sadržavala dva administrativna panela na portovima “3458” i “53501”, sa dodatnim kontrolnim serverom na “222.219.183[.]84.”
Analiza eksfiltriranih podataka otkrila je 15 žrtava (8 iOS uređaja) prvenstveno iz “Kine” i “Hong Konga”, povezanih na Wi-Fi mrežu pod nazivom “Haso_618_5G”.
Osnovna funkcionalnost maliciznog softvera (verzija 7.9.0) uključivala je destruktivne mogućnosti poput „brisanja liste kontakata“ i „brisanja komponenti sistema“, implementirane putem različitih dodataka.
Ispitivanje izvornog koda otkrilo je razvojna okruženja s različitim korisničkim imenima (“air”, “mac” i “test”) i putanjama datoteka (/Users/air/work/znf_ios/ios/, /Users/mac/dev/iosmm/, itd. .), predlažući tim od najmanje tri programera.
Osim toga, tehnički pokazatelji, uključujući sistem preračunavanja koordinata „specifičan za Kinu“ u dodatku za lokaciju i markere kineskog jezika u „Xcode datotekama zaglavlja“, snažno ukazuju na kinesko porijeklo.
Efikasnost malvera je delimično ograničena „ciklusima ažuriranja iOS-a“, iako su korisnici u regionima pogođenim Kineskim Velikim zaštitnim zidom ostali ranjivi zbog ograničenog pristupa ažuriranjima sistema.
Izvor: CyberSecurityNews