Recentemente, i ricercatori di cybersecurity hanno individuato una nuova versione dello spyware LightSpy, una minaccia particolarmente invasiva per i dispositivi Apple iOS. Questa nuova versione non solo amplia le sue funzionalità, ma incorpora anche capacità distruttive che possono impedire al dispositivo compromesso di avviarsi correttamente. LightSpy è un impianto modulare che utilizza un'architettura basata su plugin per aumentare le sue capacità, permettendo di catturare una vasta gamma di informazioni sensibili dal dispositivo infetto. Inizialmente documentato nel 2020, LightSpy mirava agli utenti di Hong Kong sfruttando vulnerabilità conosciute in iOS e macOS.

Processo di attacco

Il processo di attacco utilizza catene di attacco che sfruttano falle di sicurezza note per attivare un exploit WebKit che deposita un file con estensione ".PNG", che è in realtà un binario Mach-O. Questo file è responsabile del recupero di payload successivi da un server remoto sfruttando una falla di corruzione della memoria conosciuta come CVE-2020-3837. Un componente chiamato FrameworkLoader scarica il modulo Core di LightSpy e i suoi plugin, aumentati significativamente nella nuova versione da 12 a 28.

Funzionalità del Core

Una volta avviato, il Core esegue un controllo di connettività Internet utilizzando il dominio Baidu.com, quindi controlla gli argomenti passati da FrameworkLoader come dati di comando e controllo. Utilizzando il percorso della directory di lavoro /var/containers/Bundle/AppleAppLit/, il Core crea sottocartelle per i log, il database e i dati esfiltrati. I plugin possono catturare una vasta gamma di dati, inclusi informazioni sulle reti Wi-Fi, screenshot, posizione, iCloud Keychain, registrazioni sonore, foto, cronologia di navigazione, contatti, cronologia delle chiamate e messaggi SMS. Inoltre, possono raccogliere dati da app come Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat e WhatsApp.

Nuove funzionalità distruttive

I nuovi plugin introdotti offrono anche funzionalità distruttive che possono eliminare file multimediali, messaggi SMS, profili di configurazione delle reti Wi-Fi, contatti e cronologia del browser, e addirittura congelare il dispositivo impedendone l'avvio. Inoltre, i plugin di LightSpy possono generare false notifiche push contenenti URL specifici.

Distribuzione e attribuzione

Non è chiaro quale sia il veicolo di distribuzione preciso per questo spyware, sebbene si creda sia orchestrato tramite attacchi di tipo watering hole. Le campagne non sono state attribuite a un attore o gruppo di minaccia conosciuto fino ad oggi. Tuttavia, ci sono prove che suggeriscono che gli operatori siano probabilmente basati in Cina, dato che il plugin di localizzazione ricalcola le coordinate secondo un sistema utilizzato esclusivamente in Cina.