Siber güvenlik araştırmacıları, LightSpy adı verilen bir Apple iOS casus yazılımının yalnızca işlevselliğini genişletmekle kalmayan, aynı zamanda ele geçirilen cihazın başlatılmasını önlemek için yıkıcı yetenekler içeren geliştirilmiş bir sürümünü keşfetti.
ThreatFabric bu hafta yayınlanan bir analizde, “iOS implant dağıtım yöntemi, macOS sürümünün yöntemini yakından yansıtsa da, kullanım sonrası ve ayrıcalık yükseltme aşamaları platform farklılıkları nedeniyle önemli ölçüde farklılık gösteriyor.” dedi.
İlk olarak 2020 yılında Hong Kong’daki kullanıcıları hedef aldığı belgelenen LightSpy, yeteneklerini artırmak ve virüs bulaşmış bir cihazdan çok çeşitli hassas bilgileri yakalamasına olanak sağlamak için eklenti tabanlı bir mimari kullanan modüler bir implanttır.
Kötü amaçlı yazılımı dağıtan saldırı zincirleri, Apple iOS ve macOS’taki bilinen güvenlik kusurlarından yararlanarak “.PNG” uzantılı bir dosyayı bırakan ancak aslında uzak bir sunucudan sonraki aşamadaki verileri almaktan sorumlu bir Mach-O ikili programı olan bir WebKit istismarını tetikler. CVE-2020-3837 olarak izlenen bir bellek bozulması kusurunu kötüye kullanarak.
Buna, LightSpy’ın Core modülünü ve çeşitli eklentilerini indiren FrameworkLoader adlı bir bileşen de dahildir; bu bileşenler, en son sürümde (7.9.0) önemli ölçüde 12’den 28’e çıkmıştır.
“Çekirdek başlatıldıktan sonra Baidu.com etki alanını kullanarak bir İnternet bağlantısı kontrolü gerçekleştirecek ve ardından FrameworkLoader’dan aktarılan argümanları kontrol edecek. [command-and-control] Hollandalı güvenlik şirketi, “Veri ve çalışma dizini” dedi.
“Çekirdek, /var/containers/Bundle/AppleAppLit/ çalışma dizini yolunu kullanarak günlükler, veritabanı ve sızdırılan veriler için alt klasörler oluşturacaktır.”
Eklentiler, Wi-Fi ağ bilgileri, ekran görüntüleri, konum, iCloud Anahtar Zinciri, ses kayıtları, fotoğraflar, tarayıcı geçmişi, kişiler, çağrı geçmişi ve SMS mesajları dahil olmak üzere çok çeşitli verileri yakalayabilir ve ayrıca Dosyalar gibi uygulamalardan bilgi toplayabilir. , LINE, Mail Master, Telegram, Tencent QQ, WeChat ve WhatsApp.
Yeni eklenen eklentilerden bazıları, medya dosyalarını, SMS mesajlarını, Wi-Fi ağ yapılandırma profillerini, kişileri ve tarayıcı geçmişini silebilen, hatta cihazı dondurup yeniden başlatılmasını engelleyebilen yıkıcı özelliklere de sahiptir. Ayrıca LightSpy eklentileri belirli bir URL içeren sahte anlık bildirimler oluşturabilir.
Casus yazılımın tam dağıtım aracı belirsiz olmasına rağmen, sulama deliği saldırıları yoluyla düzenlendiğine inanılıyor. Kampanyalar bugüne kadar bilinen bir tehdit aktörü veya grubuyla ilişkilendirilmedi.
Bununla birlikte, konum eklentisinin “konum koordinatlarını yalnızca Çin’de kullanılan bir sisteme göre yeniden hesaplaması” nedeniyle operatörlerin büyük olasılıkla Çin’de yerleşik olduğuna dair bazı kanıtlar var. Çinli harita servis sağlayıcılarının GCJ-02 adı verilen bir koordinat sistemini takip ettiğini belirtmekte fayda var.
ThreatFabric, “LightSpy iOS durumu, sistemleri güncel tutmanın önemini vurguluyor” dedi. “LightSpy’ın arkasındaki tehdit aktörleri, güvenlik araştırmacılarının yayınlarını yakından izliyor ve etkilenen cihazlardaki ayrıcalıkları yükseltmek ve yükleri dağıtmak için yeni açıklanan açıkları yeniden kullanıyor.”