Исследователи из компании ThreatFabric выявилиусовершенствованную версию шпионского ПО LightSpy для iOS, которое не только расширяет свои функции, но и включает разрушительные возможности, блокирующие загрузку заражённого устройства. Новая версия LightSpy отличается подходами к эксплуатации уязвимостей в iOS по сравнению с macOS, несмотря на сходство методов доставки вредоносного ПО.
LightSpy был впервые задокументирован в 2020 году и нацелен на пользователей из Гонконга. Это вредоносное ПО использует модульную архитектуру, позволяющую собирать обширные данные с заражённых устройств. Распространение вредоносного ПО происходит через уязвимости в iOS и macOS. В рассмотренной кампании применяется эксплойт для WebKit, который инициирует загрузку файла формата “.PNG”, скрывающего двоичный код Mach-O для загрузки других вредоносных компонентов с удалённого сервера.
Основной компонент LightSpy – FrameworkLoader – загружает ядро шпионского ПО и набор из 28 плагинов (против 12 в предыдущей версии). После запуска ядро LightSpy проверяет интернет-соединение и передаёт данные через домен “Baidu[.]com”, создавая рабочую директорию для хранения логов и выгруженных данных.
Плагины LightSpy обладают широкими возможностями по сбору информации, включая данные о Wi-Fi сетях, скриншоты, геолокацию, iCloud Keychain, аудиозаписи, фотографии, историю браузера, контакты, список звонков и SMS-сообщения. Они также позволяют извлекать данные из популярных мессенджеров, таких как LINE, Telegram, WeChat и WhatsApp.
В новой версии LightSpy также появились деструктивные функции, способные удалять медиафайлы, контакты, сообщения и даже конфигурации Wi-Fi. Кроме того, некоторые плагины могут полностью заморозить устройство, что делает его невозможным к дальнейшему использованию. Также есть возможность отправлять поддельные push-уведомления с определённой ссылкой, направляющей пользователя на вредоносный сайт.
Методы распространения LightSpy остаются неясными, но предполагается, что для этого используются атаки типа
Данная тактика подразумевает, что хакер сначала выявляет интересы и привычки целевой аудитории, затем компрометирует один или несколько популярных среди этой аудитории сайтов, внедряя в них вредоносный код. Когда пользователи заходят на заражённый сайт, их компьютеры или устройства также подвергаются заражению. Такая техника широко используется для распространения вредоносного ПО, шпионажа или кражи данных у определённой целевой аудитории жертв.