Os hackers geralmente têm como alvo o iOS devido à sua base de usuários e vulnerabilidades de segurança percebidas. Apesar das medidas de segurança robustas da Apple, as falhas no sistema operacional e em aplicativos de terceiros podem ser exploradas por agentes de ameaças que permitem que eles obtenham “acesso não autorizado” aos dispositivos.
Pesquisadores da ThreatFabric descobriram recentemente que o malware LightSpy iOS foi atualizado para incluir 28 plugins com recursos destrutivos.
LightSpy iOS Malware atualizado
Em maio de 2024, a empresa de segurança cibernética ThreatFabric descobriu desenvolvimentos significativos no ecossistema de malware LightSpy que revelaram uma “infraestrutura de servidor unificada” que direcionou campanhas “macOS” e “iOS”.
A investigação identificou uma versão avançada do “LightSpy” para iOS (versão 7.9.0, atualização da versão 6.0.0), que demonstrou melhorias substanciais em suas capacidades maliciosas.
A arquitetura do malware se expandiu para incluir 28 plugins distintos (um aumento em relação aos 12 originais), com sete plugins projetados especificamente para interromper as operações do dispositivo, visando principalmente o processo de inicialização por meio de comandos como “/usr/sbin/nvram auto-boot=false”.
Abaixo mencionamos todos os 28 plugins:
- Excluir aplicativo
- Informações básicas
- Destruir inicialização
- Navegador
- Excluir navegador
- módulo de câmera
- ContatoExcluir
- ExcluirKernelFile
- ExcluirPrimavera
- Registro Ambiental
- Gerenciar arquivo
- ios_linha
- ios_mail
- ios_qq
- ios_telegram
- ios_wechat
- ios_whatsapp
- Chaveiro
- dispositivos terrestres
- Localização
- Excluir mídia
- Mensagem Push
- Captura de tela
- Comando Shell
- SMSExcluir
- Informações suaves
- Apagar Wifi
- Lista Wifi
Os agentes da ameaça ampliaram seu alcance oferecendo suporte a versões do iOS até 13.3, aproveitando duas vulnerabilidades críticas de segurança:
- ‘CVE-2020-9802’ para acesso inicial ao sistema por meio da exploração do WebKit.
- ‘CVE-2020-3837’ para obter privilégios elevados do sistema.
O malware manteve a comunicação por meio de cinco servidores “C2” ativos usando “conexões WebSocket” para transmissão de dados, com o registro de data e hora de implantação mais recente em 26 de outubro de 2022.
A cadeia de infecção começou com um “sistema de entrega de exploits baseado em HTML”, seguido por um estágio de jailbreak que implantou o “FrameworkLoader” (também conhecido como “ircloader”), que então facilitou a instalação do principal “LightSpy Core” e seus plugins.
Além disso, os recursos notáveis incluíam “criptografia AES ECB” com a chave “3e2717e8b3873b29” para “dados de configuração”, “implementação de banco de dados SQL para armazenamento de comandos” (usando light.db) e “plugins sofisticados”.
Os plugins são ‘ios_mail’, que tem como alvo o aplicativo Mail Master da NetEase para comprometer e-mails, e ‘PushMessage’, que gera notificações push enganosas por meio da porta 8087.
O LightSpy opera através do endereço IP “103.27.109[.]217” e usa “certificados SSL autoassinados” para sua infraestrutura “C2”.
O malware empregava “exploits de 1 dia” (vulnerabilidades divulgadas publicamente) e uma técnica de “Rootless Jailbreak” que não persiste após reinicializações do dispositivo, visando “versões específicas do iOS” por meio de ataques de watering hole (sites legítimos comprometidos).
A infraestrutura continha dois painéis administrativos nas portas “3458” e “53501”, com um servidor de controle adicional em “222.219.183[.]84”.
A análise dos dados exfiltrados revelou 15 vítimas (8 dispositivos iOS), principalmente da “China” e “Hong Kong”, conectadas a uma rede Wi-Fi chamada “Haso_618_5G”.
A funcionalidade principal do malware (versão 7.9.0) incluía recursos destrutivos como “limpeza de lista de contatos” e “exclusão de componentes do sistema”, implementados por meio de vários plug-ins.
O exame do código-fonte expôs ambientes de desenvolvimento com nomes de usuário distintos (“air”, “mac” e “test”) e caminhos de arquivo (/Users/air/work/znf_ios/ios/, /Users/mac/dev/iosmm/, etc.), sugerindo uma equipe de pelo menos três desenvolvedores.
Além disso, os indicadores técnicos, incluindo um sistema de recálculo de coordenadas “específico da China” no plugin de localização e marcadores de idioma chinês em “arquivos de cabeçalho do Xcode”, sugerem fortemente a origem chinesa.
A eficácia do malware foi parcialmente limitada pelos “ciclos de atualização do iOS”, embora os usuários em regiões afetadas pelo Grande Firewall da China permanecessem vulneráveis devido ao acesso restrito às atualizações do sistema.
+Mais
Violação de dados da Ford, hackers supostamente vazaram 44 mil dados de clientes
Sites de desconto falsos exploram a Black Friday para sequestrar informações dos compradores
Urgente: Vulnerabilidade crítica do plugin WordPress expõe mais de 4 milhões de sites