Clicky

Nueva versión del software espía LightSpy ataca a los iPhones con tácticas de vigilancia mejoradas

Apple

Puede capturar una amplia gama de datos así como recopilar información de aplicaciones

Investigadores de ciberseguridad han descubierto una versión mejorada de un software espía de Apple iOS llamado LightSpy que no solo amplía su funcionalidad, sino que también incorpora capacidades destructivas para evitar que se inicie el dispositivo comprometido.

"Si bien el método de entrega del implante iOS refleja fielmente el de la versión macOS, las etapas posteriores a la explotación y la escalada de privilegios difieren significativamente debido a las diferencias de plataforma", dijo ThreatFabric en un análisis publicado esta semana.

LightSpy, documentado por primera vez en 2020 como un ataque dirigido a usuarios de Hong Kong, es un implante modular que emplea una arquitectura basada en plugins para aumentar sus capacidades y permitirle capturar una amplia gama de información confidencial de un dispositivo infectado.

Las cadenas de ataque que distribuyen el malware aprovechan fallas de seguridad conocidas en Apple iOS y macOS para activar un exploit WebKit que suelta un archivo con la extensión ".PNG", pero en realidad es un binario Mach-O responsable de recuperar cargas útiles de la siguiente etapa de un servidor remoto al abusar de una falla de corrupción de memoria rastreada como CVE-2020-3837.

Esto incluye un componente denominado FrameworkLoader que, a su vez, descarga el módulo Core de LightSpy y sus diversos plugins, que han aumentado significativamente de 12 a 28 en la última versión (7.9.0).

"Después de que se inicie el Core, realizará una verificación de conectividad a Internet utilizando el dominio Baidu.com y luego verificará los argumentos que se pasaron desde FrameworkLoader como datos [de comando y control] y directorio de trabajo", dijo la compañía de seguridad holandesa.

"Al utilizar la ruta del directorio de trabajo /var/containers/Bundle/AppleAppLit/, el núcleo creará subcarpetas para registros, bases de datos y datos exfiltrados".

ataque LightSpy iOS

Los plugins pueden capturar una amplia gama de datos, incluida información de la red Wi-Fi, capturas de pantalla, ubicación, iCloud Keychain, grabaciones de sonido, fotos, historial del navegador, contactos, historial de llamadas y mensajes SMS, así como recopilar información de aplicaciones como Archivos, LINE, Mail Master, Telegram, Tencent QQ, WeChat y WhatsApp.

Algunos de los plugins recientemente agregados también cuentan con funciones destructivas que pueden eliminar archivos multimedia, mensajes SMS, perfiles de configuración de red Wi-Fi, contactos e historial del navegador, e incluso congelar el dispositivo y evitar que se inicie nuevamente. Además, los plugins de LightSpy pueden generar notificaciones push falsas que contienen una URL específica.

No está claro el vehículo exacto de distribución del software espía, aunque se cree que se organiza a través de ataques de tipo watering hole. Hasta la fecha, las campañas no han sido atribuidas a ningún actor o grupo de amenazas conocido.

Sin embargo, existen algunas evidencias de que los operadores probablemente tengan su base en China debido al hecho de que el complemento de ubicación "recalcula las coordenadas de ubicación según un sistema utilizado exclusivamente en China". Vale la pena señalar que los proveedores de servicios de mapas chinos siguen un sistema de coordenadas llamado GCJ-02.

"El caso de LightSpy para iOS destaca la importancia de mantener los sistemas actualizados", afirmó ThreatFabric. "Los actores de amenazas detrás de LightSpy monitorean de cerca las publicaciones de los investigadores de seguridad y reutilizan los exploits recién descubiertos para distribuir cargas útiles y aumentar los privilegios en los dispositivos afectados".

Jesus_Caceres