spot_img
20.3 C
São Paulo
spot_img
HomeTop Global NewsTechnologyLightSpy: Spyware para iOS Com Capacidades Destrutivas

LightSpy: Spyware para iOS Com Capacidades Destrutivas

Pesquisadores de cibersegurança descobriram uma nova versão do LightSpy, um spyware iOS com capacidades destrutivas. Essa variante não apenas expande sua funcionalidade, mas também pode impedir que dispositivos comprometidos iniciem.

A ThreatFabric indicou que, embora o método de entrega do implante iOS seja semelhante à versão do macOS, as etapas pós-exploração e elevação de privilégios diferem devido a características específicas de cada plataforma.

O LightSpy foi documentado pela primeira vez em 2020, focando em usuários de Hong Kong. Este é um implante modular que adota uma arquitetura com plugins, permitindo a captura de informações sensíveis de dispositivos infectados.

As cadeias de ataque que distribuem este malware iOS utilizam falhas conhecidas no sistema Apple para acionar explorações do WebKit. Um arquivo com a extensão “.PNG” é na verdade um binário Mach-O que recupera cargas de servidores remotos, explorando a vulnerabilidade CVE-2020-3837.

Incluindo um componente chamado FrameworkLoader, o LightSpy baixa módulos principais e plugins, que aumentaram de 12 para 28 na versão mais recente (7.9.0).

Após o Core ser iniciado, uma verificação de conectividade com a Internet é realizada. Ele verifica argumentos passados do FrameworkLoader como dados de comando e controle.

Usando o caminho do diretório de trabalho /var/containers/Bundle/AppleAppLit/, o Core cria subpastas para logs, bancos de dados e dados exfiltrados.

Os plugins do LightSpy podem capturar uma variedade de dados, incluindo redes Wi-Fi, capturas de tela, localização, iCloud Keychain, gravações de som, fotos, histórico de navegação, contatos, histórico de chamadas e mensagens SMS, bem como informações de aplicativos como Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat e WhatsApp.

Spyware de iPhone

Alguns novos plugins possuem recursos destrutivos que podem excluir arquivos de mídia, SMS, perfis de configuração Wi-Fi e contatos, além de congelar o dispositivo e bloquear sua inicialização. Eles também podem gerar notificações push falsas com URLs específicas.

Embora o veículo exato de distribuição do spyware não esteja claro, acredita-se que ataque de watering hole esteja envolvido. Até o momento, as campanhas não foram atribuídas a um grupo de ameaça conhecido.

Há indícios de que os operadores podem estar baseados na China, já que o plugin de localização adapta coordenadas a um sistema utilizado exclusivamente lá. O sistema de mapas chinês segue o padrão GCJ-02.

O caso do LightSpy no iOS ressalta a importância de manter sistemas atualizados. A ThreatFabric menciona que os atores por trás do LightSpy monitoram publicações de especialistas em segurança e reutilizam exploits recentemente divulgados para atacar dispositivos afetados.

Métodos de Entrega do LightSpy

iOS

  • A entrega do malware para iOS normalmente explora vulnerabilidades conhecidas no WebKit, como a CVE-2020-3837, através de páginas HTML maliciosas.
  • Isso ativa a execução de um arquivo que se disfarça de extensão “PNG”, mas é um binário Mach-O responsável pelo download de payloads adicionais.
  • Outra técnica é o ataque de “watering hole”, onde usuários são levados a sites que exploram essas vulnerabilidades.

macOS

  • Para macOS, a entrega inicia-se com a exploração de vulnerabilidades no Safari WebKit, incluindo CVE-2018-4233 e CVE-2018-4404.
  • Código malicioso é executado via páginas HTML maliciosas que disfarçam um binário Mach-O como um arquivo PNG.
  • O processo requer o download de três arquivos: um exploit de escalonamento de privilégios, uma ferramenta de criptografia e um arquivo ZIP que contém arquivos de atualização.

Etapas de Pós-Exploração

iOS

  • Após a entrega, o FrameworkLoader baixa o módulo Core do LightSpy junto com seus plugins, verificando conectividade com o domínio Baidu.com.
  • Os plugins coletam dados como informações Wi-Fi, screenshots, localização, histórico de navegação, contatos e dados de aplicativos de mensagens.
  • Novos plugins têm funções destrutivas, como deletar arquivos e congelar o dispositivo.

macOS

  • Após a entrega, um script baixa três arquivos adicionais, incluindo um exploit de escalonamento de privilégios e ferramentas de criptografia.
  • O carregador “update” permite que o módulo Core do LightSpy contate o servidor C2 e receba comandos.
  • Os plugins para macOS capturam dados como áudio do microfone, gravação de tela, arquivos em execução e dados de navegadores.

Arquitetura Baseada em Plugins

Flexibilidade e Funcionalidade

  • A arquitetura baseada em plugins do LightSpy oferece flexibilidade para expandir funcionalidades facilmente.
  • Plugins podem ser atualizados remotamente por comandos do servidor C2, permitindo evolução sem reimplantação do core do malware.

Diferenças de Funcionalidade

Em suma, as diferenças técnicas nas versões do LightSpy para iOS e macOS são fundamentadas nas especificidades de cada plataforma, aproveitando a arquitetura de plugins para flexibilidade e capacidades avançadas de coleta de dados.

Arquitetura de Plugins do LightSpy para iOS

A arquitetura baseada em plugins do LightSpy para iOS é significativamente mais avançada. Com uma gama mais ampla de funções destrutivas e um método eficiente para coleta de dados sensíveis, essa versão supera a sua contraparte para macOS.

Modularidade e Número de Plugins

O LightSpy para iOS possui 28 plugins, um aumento notável em relação aos 12 da versão para macOS. Esses plugins são projetados para realizar diversas tarefas, como:

  • Coleta de dados de aplicativos populares (Telegram, QQ, WeChat)
  • Extração de histórico de pagamentos do WeChat Pay

Funções Destrutivas

Os plugins do LightSpy para iOS incluem funções destrutivas que permitem:

  • Congelar o dispositivo
  • Prevenir reboot
  • Deletar arquivos de mídia e mensagens de SMS
  • Excluir configurações de rede Wi-Fi e contatos
  • Gerar notificações de push falsas com URLs específicas

Coleta de Dados Sensíveis

A arquitetura do LightSpy para iOS permite a coleta de dados sensíveis, como:

  • Localização GPS e histórico de conexões Wi-Fi
  • Histórico de chamadas e mensagens de SMS
  • Dados do KeyChain do iCloud
  • Gravações de áudio e fotos
  • Histórico do navegador
  • Informações de aplicativos instalados
  • Dados de aplicativos de mensagens (LINE, Mail Master, WhatsApp)

Exploitação de Vulnerabilidades

O LightSpy para iOS explora vulnerabilidades no Safari e utiliza jailbreak para obter privilégios elevados. Isso proporciona acesso a dados e funções essenciais do dispositivo, contrastando com a versão para macOS, que possui um foco diferente.

Infraestrutura de Comando e Controle (C2)

A infraestrutura C2 do LightSpy para iOS é bem organizada. Com cinco servidores ativos, cada um gerencia dispositivos infectados e armazena dados exfiltrados. Um servidor até possui painel de administração, demonstrando capacidades do software.

Origens e Alcance Geográfico

Os desenvolvedores parecem estar baseados na China. Alguns plugins recalculam coordenadas segundo o sistema GCJ-02, indicando um foco geográfico específico que pode não ser o mesmo na versão para macOS.

Em suma, a arquitetura do LightSpy para iOS é mais robusta, aproveitando vulnerabilidades específicas para um controle detalhado e vigilância eficaz em dispositivos móveis.

#LightSpy #SpywareiOS #AmeaçasCibersegurança #MalwareiOS #Cibersegurança #SegurançaDigital #Alegon

latest articles

explore more