Эксперты по кибербезопасности из компании ThreatFabric обнаружили новую, значительно усовершенствованную версию вредоносного ПО LightSpy, нацеленного на устройства Apple iOS. Это открытие вызывает серьезную обеспокоенность в сфере информационной безопасности, учитывая расширенные возможности малвари и потенциальную угрозу для пользователей iPhone.
История и эволюция LightSpy
LightSpy впервые привлек внимание специалистов по безопасности в 2020 году, когда «Лаборатория Касперского» зафиксировала заражения iPhone пользователей в Гонконге. Изначально вредонос был разработан для установления контроля над устройствами и кражи конфиденциальных данных. С тех пор LightSpy эволюционировал, расширив свой арсенал и охват целевых платформ, включая Android и macOS.
В начале 2024 года исследователи ThreatFabric обнаружили существенно обновленную версию LightSpy для iOS. Ключевые изменения включают модернизацию ядра вредоноса и значительное увеличение количества вредоносных плагинов — с 12 до 28.
Технические особенности новой версии
Обновленный LightSpy демонстрирует повышенную эффективность, атакуя более новые версии iOS (до iOS 13.3). Для получения начального доступа эксплуатируется уязвимость CVE-2020-9802, а для повышения привилегий — CVE-2020-3837. Предполагается, что распространение вредоноса происходит через вредоносные веб-сайты, использующие RCE-уязвимость в Safari.
Механизм заражения
Процесс инфицирования устройства включает несколько этапов:
- Эксплуатация уязвимости в Safari для удаленного выполнения кода
- Проведение джейлбрейка устройства через цепочку эксплоитов
- Доставка загрузчика вредоносного ПО
- Установка основного компонента LightSpy
Важно отметить, что джейлбрейк не сохраняется после перезагрузки устройства, что предоставляет определенную защиту. Однако это не гарантирует полной безопасности от повторного заражения.
Новые возможности и угрозы
Обновленная версия LightSpy обладает расширенным набором вредоносных функций, включая:
- Кражу контактов, истории звонков и сообщений
- Доступ к данным популярных мессенджеров (WhatsApp, Telegram, WeChat)
- Создание скриншотов и запись аудио
- Удаление файлов и блокировку загрузки устройства
- Стирание истории браузера и Wi-Fi-профилей
Особую озабоченность вызывают новые деструктивные возможности LightSpy, такие как блокировка загрузки устройства и удаление важных данных. Эти функции могут использоваться не только для шпионажа, но и для активного вредительства или сокрытия следов атаки.
Методы распространения и целевая аудитория
Хотя точный механизм распространения новой версии LightSpy остается неизвестным, эксперты предполагают использование техники «водопоя» (watering hole). Эта стратегия предполагает заражение веб-сайтов, часто посещаемых целевой аудиторией атаки.
Предыдущие кампании LightSpy были направлены на пользователей в Южной Азии и Индии. Некоторые исследователи связывают эту активность с хакерскими группами, предположительно поддерживаемыми правительством Китая, хотя эта информация требует дополнительного подтверждения.
Появление новой версии LightSpy подчеркивает необходимость постоянной бдительности в вопросах кибербезопасности. Пользователям iOS рекомендуется регулярно обновлять свои устройства, избегать подозрительных веб-сайтов и приложений, а также использовать надежные средства защиты от вредоносного ПО. Организациям следует усилить мониторинг сетевой активности и обучение сотрудников по вопросам информационной безопасности для минимизации рисков заражения подобными угрозами.
