Исследователи из нидерландской компании ThreatFabric обнаружили обновлённую версию iOS-шпиона LightSpy, который не только расширил набор функций слежки, но и обзавёлся деструктивными возможностями — вплоть до способности заблокировать загрузку заражённого iPhone.
Как устроена атака
По данным ThreatFabric, схема доставки импланта на iOS во многом повторяет macOS-версию, но этапы постэксплуатации и повышения привилегий существенно различаются из-за особенностей платформы. Атака начинается с эксплуатации известных уязвимостей в iOS и macOS через WebKit — жертве подсовывают файл с расширением «.PNG», который на деле является бинарником Mach-O. Он загружает следующие стадии payload с удалённого сервера, используя уязвимость повреждения памяти CVE-2020-3837.
Дальше в дело вступает компонент FrameworkLoader, который скачивает ядро (Core) LightSpy и набор плагинов. В новой версии 7.9.0 их число выросло с 12 до 28.
«После запуска Core проверяет доступность интернета через домен baidu.com, а затем считывает параметры, переданные FrameworkLoader — данные C2-сервера и рабочий каталог», — рассказали в ThreatFabric. Рабочей директорией служит /var/containers/Bundle/AppleAppLit/, внутри которой создаются подпапки для логов, базы данных и похищенных файлов.
LightSpy впервые был задокументирован в 2020 году как инструмент атак на пользователей в Гонконге. Это модульный имплант с плагинной архитектурой, позволяющей гибко наращивать функциональность.
Что умеет собирать шпион
Плагины LightSpy способны извлекать данные о сетях Wi-Fi, делать скриншоты, определять геолокацию, доставать связку ключей iCloud Keychain, записывать звук, красть фотографии, историю браузера, контакты, журнал звонков и SMS. Отдельные модули собирают информацию из приложений Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp.
Часть новых плагинов носит откровенно деструктивный характер: они умеют удалять медиафайлы, SMS-сообщения, профили конфигурации Wi-Fi, контакты и историю браузера, а также «замораживать» устройство, не давая ему снова загрузиться. Кроме того, LightSpy может генерировать фейковые push-уведомления с определённой ссылкой.
Кто стоит за атаками
Точный способ первичного заражения жертв пока не установлен — исследователи полагают, что применяются атаки типа watering hole (компрометация сайтов, которые посещает целевая аудитория). Кампании до сих пор не приписаны конкретной известной группировке.
Тем не менее есть косвенные признаки китайского происхождения операторов: плагин геолокации пересчитывает координаты по системе, применяемой исключительно в Китае, — GCJ-02, которую используют местные картографические сервисы.
«Случай с LightSpy на iOS напоминает о важности своевременных обновлений системы, — подчеркнули в ThreatFabric. — Операторы LightSpy внимательно следят за публикациями исследователей безопасности и оперативно берут на вооружение новые раскрытые эксплойты для доставки payload и повышения привилегий на заражённых устройствах».
Источник: The Hacker News.