Pesquisadores de cibersegurança descobriram uma versão aprimorada de um spyware para Apple iOS chamado LightSpy, que não só expande sua funcionalidade, mas também incorpora capacidades destrutivas para impedir que o dispositivo comprometido inicie.
"Embora o método de entrega do implante no iOS seja muito semelhante ao da versão macOS, as fases de pós-exploração e escalada de privilégios diferem significativamente devido às diferenças de plataforma", disse a ThreatFabric em uma análise publicada esta semana.
O LightSpy, documentado pela primeira vez em 2020 como tendo como alvo usuários em Hong Kong, é um implante modular que usa uma arquitetura baseada em plugins para aumentar suas capacidades e permitir que ele capture uma ampla gama de informações sensíveis de um dispositivo infectado.
Cadeias de ataque que distribuem o malware exploram falhas de segurança conhecidas no Apple iOS e macOS para acionar um exploit do WebKit que solta um arquivo com a extensão ".PNG", mas que na verdade é um binário Mach-O responsável por recuperar payloads da próxima etapa de um servidor remoto, abusando de uma falha de corrupção de memória rastreada como
CVE-2020-3837
.
Isso inclui um componente chamado FrameworkLoader que, por sua vez, baixa o módulo Core do LightSpy e seus plugins variados, que aumentaram significativamente de 12 para 28 na versão mais recente (7.9.0).
"Após a inicialização do Core, ele realizará uma verificação de conectividade com a Internet usando o domínio Baidu.com e, em seguida, verificará os argumentos que foram passados pelo FrameworkLoader como os dados [command-and-control] e diretório de trabalho", disse a empresa holandesa de segurança.
Usando o caminho do diretório de trabalho /var/containers/Bundle/AppleAppLit/, o Core criará subpastas para logs, banco de dados e dados exfiltrados.
Os plugins podem capturar uma ampla gama de dados, incluindo informações de redes Wi-Fi, capturas de tela, localização, iCloud Keychain, gravações de som, fotos, histórico de navegação, contatos, histórico de chamadas e mensagens SMS, além de coletar informações de aplicativos como Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat e WhatsApp.
Alguns dos plugins recém-adicionados também possuem recursos destrutivos que podem apagar arquivos de mídia, mensagens SMS, perfis de configuração de rede Wi-Fi, contatos e histórico de navegação, e até congelar o dispositivo e impedir que ele inicie novamente.
Além disso, os plugins do LightSpy podem gerar notificações push falsas contendo uma URL específica.
O veículo exato de distribuição do spyware é incerto, embora se acredite que seja orquestrado via ataques de watering hole.
As campanhas não foram atribuídas a um ator ou grupo de ameaças conhecido até o momento.
No entanto, há evidências que sugerem que os operadores provavelmente estão baseados na China, devido ao fato de que o plugin de localização "recalcula coordenadas de localização de acordo com um sistema usado exclusivamente na China".
Vale ressaltar que os provedores de serviços de mapas chineses seguem um sistema de coordenadas chamado GCJ-02.
"O caso do LightSpy iOS destaca a importância de manter os sistemas atualizados", disse a ThreatFabric.
"Os atores de ameaças por trás do LightSpy monitoram de perto as publicações de pesquisadores de segurança, reutilizando exploits recém-divulgados para entregar payloads e escalar privilégios em dispositivos afetados."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...