Investigadores de ciberseguridad han descubierto una versión mejorada de un software espía de Apple iOS llamado LightSpy que no sólo amplía su funcionalidad sino que también incorpora capacidades destructivas para evitar que el dispositivo comprometido se inicie.
“Si bien el método de entrega de los implantes iOS es muy similar al de la versión macOS, los pasos posteriores a la explotación y de escalada de privilegios difieren significativamente debido a las diferencias entre plataformas. » Tela de amenaza dicho en un análisis publicado esta semana.
LightSpy, documentado por primera vez en 2020 como dirigido a usuarios de Hong Kong, es un implante modular que utiliza una arquitectura basada en complementos para aumentar sus capacidades y permitirle capturar una amplia gama de información confidencial de un dispositivo infectado.
Las cadenas de ataques que distribuyen el malware aprovechan vulnerabilidades de seguridad conocidas en Apple iOS y macOS para activar un exploit WebKit que elimina un archivo con la extensión “.PNG”, pero en realidad es un binario Mach-O encargado de recuperar las cargas útiles de la siguiente etapa desde un control remoto. servidor. abusando de una vulnerabilidad de corrupción de memoria identificada como CVE-2020-3837.
Esto incluye un componente llamado FrameworkLoader que, a su vez, descarga el módulo Core de LightSpy y sus complementos variados, que han aumentado significativamente de 12 a 28 en la última versión (7.9.0).
“Después de que se inicie Core, realizará una verificación de conectividad a Internet utilizando el dominio Baidu.com y luego verificará los argumentos pasados por FrameworkLoader como [command-and-control] datos y directorio de trabajo”, dijo la empresa de seguridad holandesa.
“Usando la ruta del directorio de trabajo /var/containers/Bundle/AppleAppLit/, Core creará subcarpetas para registros, bases de datos y datos extraídos”.
Los complementos pueden capturar una amplia gama de datos, incluida información de la red Wi-Fi, capturas de pantalla, ubicación, llavero de iCloud, grabaciones de sonido, fotos, historial del navegador, contactos, historial de llamadas y mensajes SMS, además de recopilar información de aplicaciones como Archivos. , LINE, Mail Master, Telegram, Tencent QQ, WeChat y WhatsApp.
Algunos de los complementos recién agregados también tienen características destructivas que pueden eliminar archivos multimedia, mensajes SMS, perfiles de configuración de red Wi-Fi, contactos e historial del navegador, e incluso congelar el dispositivo e impedir que se reinicie. Además, los complementos de LightSpy pueden generar notificaciones push falsas que contienen una URL específica.
El vehículo de distribución exacto del software espía no está claro, aunque se cree que está orquestado mediante ataques de abrevadero. Hasta la fecha, las campañas no se han atribuido a ningún actor o grupo amenazador conocido.
Sin embargo, hay evidencia de que los operadores probablemente tengan su sede en China debido al hecho de que el complemento de ubicación “recalcula las coordenadas de ubicación según un sistema utilizado exclusivamente en China”. Cabe señalar que los proveedores de servicios cartográficos chinos siguen un sistema de coordenadas llamado GCJ-02.
“El caso de LightSpy iOS resalta la importancia de mantener los sistemas actualizados”, dijo ThreatFabric. “Los actores de amenazas detrás de LightSpy monitorean de cerca las publicaciones de los investigadores de seguridad, reutilizando exploits recientemente revelados para entregar cargas útiles y elevar los privilegios en los dispositivos afectados”.