Cybersecurity-onderzoekers hebben een verbeterde versie ontdekt van een Apple iOS-spyware, LightSpy genaamd, die niet alleen de functionaliteit uitbreidt, maar ook destructieve mogelijkheden bevat om te voorkomen dat het aangetaste apparaat opstart.
“Hoewel de iOS-implantaatleveringsmethode nauw aansluit bij die van de macOS-versie, verschillen de fasen na de exploitatie en de escalatie van bevoegdheden aanzienlijk vanwege platformverschillen”, zei ThreatFabric in een analyse die deze week werd gepubliceerd.
LightSpy, voor het eerst gedocumenteerd in 2020 als gericht op gebruikers in Hong Kong, is een modulair implantaat dat gebruik maakt van een op plug-ins gebaseerde architectuur om de mogelijkheden ervan te vergroten en het in staat te stellen een breed scala aan gevoelige informatie van een geïnfecteerd apparaat vast te leggen.
Aanvalsketens die de malware verspreiden, maken gebruik van bekende beveiligingsfouten in Apple iOS en macOS om een WebKit-exploit te activeren die een bestand met de extensie “.PNG” neerzet, maar in werkelijkheid een Mach-O-binair bestand is dat verantwoordelijk is voor het ophalen van de volgende fase van payloads van een externe server door misbruik te maken van een geheugencorruptiefout die wordt bijgehouden als CVE-2020-3837.
Dit omvat een component genaamd FrameworkLoader die op zijn beurt de Core-module van LightSpy en de bijbehorende plug-ins downloadt, die aanzienlijk zijn gestegen van 12 naar 28 in de nieuwste versie (7.9.0).
“Nadat de Core is opgestart, zal deze een internetverbindingscontrole uitvoeren met behulp van het Baidu.com-domein, en vervolgens de argumenten controleren die door FrameworkLoader zijn doorgegeven als de (command-and-control) gegevens- en werkmap”, aldus de Nederlandse beveiliging. bedrijf zei.
“Met behulp van het werkmappad /var/containers/Bundle/AppleAppLit/ zal de Core submappen maken voor logs, database en geëxfiltreerde gegevens.”
De plug-ins kunnen een breed scala aan gegevens vastleggen, waaronder Wi-Fi-netwerkinformatie, schermafbeeldingen, locatie, iCloud-sleutelhanger, geluidsopnamen, foto’s, browsergeschiedenis, contacten, belgeschiedenis en sms-berichten, en ook informatie verzamelen uit apps zoals Bestanden , LINE, Mail Master, Telegram, Tencent QQ, WeChat en WhatsApp.
Sommige van de nieuw toegevoegde plug-ins beschikken ook over destructieve functies die mediabestanden, sms-berichten, Wi-Fi-netwerkconfiguratieprofielen, contacten en browsergeschiedenis kunnen verwijderen, en zelfs het apparaat kunnen bevriezen en voorkomen dat het opnieuw opstart. Bovendien kunnen LightSpy-plug-ins valse pushmeldingen genereren met een specifieke URL.
Het exacte distributiemiddel voor de spyware is onduidelijk, hoewel wordt aangenomen dat deze wordt georkestreerd via watering hole-aanvallen. De campagnes zijn tot nu toe niet toegeschreven aan een bekende dreigingsactoren of -groep.
Er zijn echter aanwijzingen dat de operators waarschijnlijk in China zijn gevestigd, vanwege het feit dat de locatieplug-in “locatiecoördinaten opnieuw berekent volgens een systeem dat uitsluitend in China wordt gebruikt.” Het is vermeldenswaard dat Chinese kaartserviceproviders een coördinatensysteem volgen dat GCJ-02 wordt genoemd.
“De LightSpy iOS-zaak benadrukt het belang van het up-to-date houden van systemen”, aldus ThreatFabric. “De bedreigingsactoren achter LightSpy houden publicaties van beveiligingsonderzoekers nauwlettend in de gaten, waarbij ze nieuw onthulde exploits hergebruiken om payloads te leveren en privileges op getroffen apparaten te escaleren.”
