Peneliti keamanan siber telah menemukan versi perbaikan dari spyware Apple iOS yang disebut LightSpy yang tidak hanya memperluas fungsinya, namun juga menggabungkan kemampuan destruktif untuk mencegah perangkat yang disusupi melakukan booting.
“Meskipun metode pengiriman implan iOS sangat mirip dengan versi macOS, tahap pasca-eksploitasi dan peningkatan hak istimewa berbeda secara signifikan karena perbedaan platform,” kata ThreatFabric dalam analisis yang diterbitkan minggu ini.
LightSpy, yang pertama kali didokumentasikan pada tahun 2020 menargetkan pengguna di Hong Kong, adalah implan modular yang menggunakan arsitektur berbasis plugin untuk meningkatkan kemampuannya dan memungkinkannya menangkap berbagai informasi sensitif dari perangkat yang terinfeksi.
Rantai serangan yang mendistribusikan malware memanfaatkan kelemahan keamanan yang diketahui di Apple iOS dan macOS untuk memicu eksploitasi WebKit yang menjatuhkan file dengan ekstensi “.PNG”, namun sebenarnya merupakan biner Mach-O yang bertanggung jawab untuk mengambil muatan tahap berikutnya dari server jarak jauh. dengan menyalahgunakan kelemahan kerusakan memori yang dilacak sebagai CVE-2020-3837.
Ini termasuk komponen yang dijuluki FrameworkLoader yang, pada gilirannya, mengunduh modul Inti LightSpy dan berbagai macam pluginnya, yang telah meningkat secara signifikan dari 12 menjadi 28 di versi terbaru (7.9.0).
“Setelah Core dijalankan, ia akan melakukan pemeriksaan konektivitas Internet menggunakan domain Baidu.com, dan kemudian akan memeriksa argumen yang diteruskan dari FrameworkLoader sebagai [command-and-control] data dan direktori kerja,” kata perusahaan keamanan Belanda.
“Menggunakan jalur direktori kerja /var/containers/Bundle/AppleAppLit/, Core akan membuat subfolder untuk log, database, dan data yang dieksfiltrasi.”
Plugin dapat menangkap berbagai macam data, termasuk informasi jaringan Wi-Fi, tangkapan layar, lokasi, Rantai Kunci iCloud, rekaman suara, foto, riwayat browser, kontak, riwayat panggilan, dan pesan SMS, serta mengumpulkan informasi dari aplikasi seperti File , LINE, Mail Master, Telegram, Tencent QQ, WeChat, dan WhatsApp.
Beberapa plugin baru yang ditambahkan juga memiliki fitur destruktif yang dapat menghapus file media, pesan SMS, profil konfigurasi jaringan Wi-Fi, kontak, dan riwayat browser, dan bahkan membekukan perangkat dan mencegahnya memulai kembali. Selain itu, plugin LightSpy dapat menghasilkan pemberitahuan push palsu yang berisi URL tertentu.
Sarana distribusi yang tepat untuk spyware ini tidak jelas, meskipun diyakini diatur melalui serangan watering hole. Hingga saat ini, kampanye tersebut belum dikaitkan dengan aktor atau kelompok ancaman yang diketahui.
Namun, ada beberapa bukti bahwa operator tersebut kemungkinan besar berbasis di Tiongkok karena fakta bahwa plugin lokasi “menghitung ulang koordinat lokasi berdasarkan sistem yang digunakan secara eksklusif di Tiongkok.” Perlu dicatat bahwa penyedia layanan peta Tiongkok mengikuti sistem koordinat yang disebut GCJ-02.
“Kasus LightSpy iOS menyoroti pentingnya menjaga sistem tetap mutakhir,” kata ThreatFabric. “Para pelaku ancaman di balik LightSpy memantau dengan cermat publikasi dari peneliti keamanan, menggunakan kembali eksploitasi yang baru diungkapkan untuk mengirimkan muatan dan meningkatkan hak istimewa pada perangkat yang terkena dampak.”
