Експерти з кібербезпеки компанії ThreatFabric виявили суттєво вдосконалену версію шкідливого програмного забезпечення LightSpy, спрямованого на пристрої Apple iOS. Ця знахідка викликає серйозне занепокоєння в галузі інформаційної безпеки, враховуючи розширені можливості малвару та потенційну загрозу для користувачів iPhone.
Історія та еволюція LightSpy
LightSpy вперше привернув увагу фахівців з безпеки у 2020 році, коли “Лабораторія Касперського” зафіксувала зараження iPhone користувачів у Гонконзі. Спочатку шкідливе ПЗ було розроблено для встановлення контролю над пристроями та викрадення конфіденційних даних. З того часу LightSpy еволюціонував, розширивши свій арсенал та охоплення цільових платформ, включаючи Android та macOS.
На початку 2024 року дослідники ThreatFabric виявили істотно оновлену версію LightSpy для iOS. Ключові зміни включають модернізацію ядра шкідливого ПЗ та значне збільшення кількості шкідливих плагінів – з 12 до 28.
Технічні особливості нової версії
Оновлений LightSpy демонструє підвищену ефективність, атакуючи новіші версії iOS (до iOS 13.3). Для отримання початкового доступу експлуатується вразливість CVE-2020-9802, а для підвищення привілеїв – CVE-2020-3837. Передбачається, що поширення шкідливого ПЗ відбувається через зловмисні веб-сайти, що використовують RCE-вразливість у Safari.
Механізм зараження
Процес інфікування пристрою включає кілька етапів:
- Експлуатація вразливості в Safari для віддаленого виконання коду
- Проведення джейлбрейку пристрою через ланцюжок експлойтів
- Доставка завантажувача шкідливого ПЗ
- Встановлення основного компонента LightSpy
Важливо зазначити, що джейлбрейк не зберігається після перезавантаження пристрою, що надає певний захист. Однак це не гарантує повної безпеки від повторного зараження.
Нові можливості та загрози
Оновлена версія LightSpy володіє розширеним набором шкідливих функцій, включаючи:
- Викрадення контактів, історії дзвінків та повідомлень
- Доступ до даних популярних месенджерів (WhatsApp, Telegram, WeChat)
- Створення скріншотів та запис аудіо
- Видалення файлів та блокування завантаження пристрою
- Стирання історії браузера та Wi-Fi-профілів
Особливе занепокоєння викликають нові деструктивні можливості LightSpy, такі як блокування завантаження пристрою та видалення важливих даних. Ці функції можуть використовуватися не лише для шпигунства, а й для активного шкідництва або приховування слідів атаки.
Методи поширення та цільова аудиторія
Хоча точний механізм поширення нової версії LightSpy залишається невідомим, експерти припускають використання техніки “водопою” (watering hole). Ця стратегія передбачає зараження веб-сайтів, які часто відвідує цільова аудиторія атаки.
Попередні кампанії LightSpy були спрямовані на користувачів у Південній Азії та Індії. Деякі дослідники пов’язують цю активність з хакерськими групами, ймовірно підтримуваними урядом Китаю, хоча ця інформація потребує додаткового підтвердження.
Поява нової версії LightSpy підкреслює необхідність постійної пильності в питаннях кібербезпеки. Користувачам iOS рекомендується регулярно оновлювати свої пристрої, уникати підозрілих веб-сайтів та додатків, а також використовувати надійні засоби захисту від шкідливого ПЗ. Організаціям слід посилити моніторинг мережевої активності та навчання співробітників з питань інформаційної безпеки для мінімізації ризиків зараження подібними загрозами. Лише комплексний підхід до кібербезпеки може забезпечити ефективний захист від постійно еволюціонуючих загроз, таких як LightSpy.
