Istraživači cyber sigurnosti otkrili su poboljšanu verziju Apple iOS špijunskog softvera nazvanu LightSpy koja ne samo da proširuje svoju funkcionalnost, već uključuje i destruktivne mogućnosti kako bi spriječila da se kompromitovani uređaj pokrene.
“Dok metoda isporuke iOS implantata u velikoj mjeri odražava metodu macOS verzije, faze nakon eksploatacije i eskalacije privilegija značajno se razlikuju zbog razlika u platformi”, navodi ThreatFabric u analizi objavljenoj ove sedmice.
LightSpy, koji je prvi put dokumentiran 2020. kao ciljani korisnici u Hong Kongu, je modularni implant koji koristi arhitekturu zasnovanu na dodacima kako bi povećao svoje mogućnosti i omogućio da uhvati širok spektar osjetljivih informacija sa zaraženog uređaja.
Lanci napada koji distribuiraju maliciozni softver koriste poznate sigurnosne propuste u Apple iOS-u i macOS-u kako bi pokrenuli eksploataciju WebKit-a koja ispušta datoteku s ekstenzijom “.PNG”, ali je zapravo Mach-O binarna datoteka odgovorna za preuzimanje korisnih podataka sljedeće faze sa udaljenog servera zloupotrebom greške u oštećenju memorije praćene kao CVE-2020-3837 .
Ovo uključuje komponentu nazvanu FrameworkLoader koja zauzvrat preuzima LightSpy Core modul i njegove različite dodatke, koji su značajno porasli sa 12 na 28 u najnovijoj verziji (7.9.0).
“Nakon što se Core pokrene, izvršit će provjeru internetske povezanosti koristeći Baidu.com domenu, a zatim će provjeriti argumente koji su proslijeđeni iz FrameworkLoader-a kao [command-and-control] podaci i radni direktorij”, holandska sigurnost rekla je kompanija.
“Upotrebom putanje radnog direktorija /var/containers/Bundle/AppleAppLit/, Core će kreirati podfoldere za dnevnike, bazu podataka i eksfiltrirane podatke.”
Dodaci mogu snimiti širok raspon podataka, uključujući informacije o Wi-Fi mreži, snimke ekrana, lokaciju, iCloud privjesak za ključeve, zvučne snimke, fotografije, historiju pretreživača, kontakte, povijest poziva i SMS poruke, kao i prikupljanje informacija iz aplikacija kao što su Files , LINE, Mail Master, Telegram, Tencent QQ, WeChat i WhatsApp.
Neki od novododatih dodataka takođe se mogu pohvaliti destruktivnim funkcijama koje mogu izbrisati medijske datoteke, SMS poruke, profile konfiguracije Wi-Fi mreže, kontakte i historiju pretraživača, pa čak i zamrznuti uređaj i spriječiti njegovo ponovno pokretanje. Osim toga, LightSpy dodaci mogu generisati lažne push obavijesti koje sadrže određeni URL.
Tačan mehanizam za distribuciju špijunskog softvera je nejasan, iako se vjeruje da je orkestriran napadima . Kampanje do danas nisu pripisane poznatom hakeru ili grupi.
Međutim, postoje neki dokazi da su operateri vjerovatno smješteni u Kini zbog činjenice da dodatak za lokaciju “ponovo izračunava koordinate lokacije prema sistemu koji se koristi isključivo u Kini.” Vrijedi napomenuti da kineski dobavljači kartografskih usluga slijede koordinatni sistem koji se zove GCJ-02 .
“LightSpy iOS kućište naglašava važnost ažuriranja sistema”, rekao je ThreatFabric. “Učesnici prijetnji koji stoje iza LightSpyja pomno prate publikacije istraživača sigurnosti, ponovno koriste novootkrivene eksploatacije za isporuku korisnih podataka i eskalaciju privilegija na pogođenim uređajima.”
Izvor:The Hacker News