LightSpy возвращается: 28 плагинов и полная блокировка iOS-устройств

Исследователи из компании ThreatFabric выявили усовершенствованную версию шпионского ПО LightSpy для iOS , которое не только расширяет свои функции, но и включает разрушительные возможности, блокирующие загрузку заражённого устройства. Новая версия LightSpy отличается подходами к эксплуатации уязвимостей в iOS по сравнению с macOS, несмотря на сходство методов доставки вредоносного ПО.

LightSpy был впервые задокументирован в 2020 году и нацелен на пользователей из Гонконга. Это вредоносное ПО использует модульную архитектуру, позволяющую собирать обширные данные с заражённых устройств. Распространение вредоносного ПО происходит через уязвимости в iOS и macOS. В рассмотренной кампании применяется эксплойт для WebKit, который инициирует загрузку файла формата «.PNG», скрывающего двоичный код Mach-O для загрузки других вредоносных компонентов с удалённого сервера.

Основной компонент LightSpy — FrameworkLoader — загружает ядро шпионского ПО и набор из 28 плагинов (против 12 в предыдущей версии). После запуска ядро LightSpy проверяет интернет-соединение и передаёт данные через домен «Baidu[.]com», создавая рабочую директорию для хранения логов и выгруженных данных.

Плагины LightSpy обладают широкими возможностями по сбору информации, включая данные о Wi-Fi сетях, скриншоты, геолокацию, iCloud Keychain, аудиозаписи, фотографии, историю браузера, контакты, список звонков и SMS-сообщения. Они также позволяют извлекать данные из популярных мессенджеров, таких как LINE, Telegram, WeChat и WhatsApp.

В новой версии LightSpy также появились деструктивные функции, способные удалять медиафайлы, контакты, сообщения и даже конфигурации Wi-Fi. Кроме того, некоторые плагины могут полностью заморозить устройство, что делает его невозможным к дальнейшему использованию. Также есть возможность отправлять поддельные push-уведомления с определённой ссылкой, направляющей пользователя на вредоносный сайт.

Методы распространения LightSpy остаются неясными, но предполагается, что для этого используются атаки типа Watering Hole . Исследователи указывают на косвенные признаки, что операторы вредоносного ПО могут находиться в Китае, поскольку плагин для геолокации использует координатную систему GCJ-02, принятую только в КНР.

Эксперты ThreatFabric подчёркивают важность обновления операционных систем для защиты от подобных угроз. Разработчики LightSpy активно отслеживают новые публикации исследователей безопасности, чтобы внедрять в свои эксплойты свежие уязвимости для получения контроля над устройствами.