Phiên bản mới của phần mềm độc hại LightSpy, được biết đến với việc tấn công vào thiết bị iOS, đã được mở rộng để bao gồm khả năng xâm nhập vào bảo mật và ổn định của thiết bị.
ThreatFabric, người khám phá ra phần mềm độc hại này, trước đây đã công bố một báo cáo về LightSpy dành cho macOS vào tháng 5 năm 2024. Trong quá trình điều tra đó, các nhà phân tích phát hiện ra rằng cùng một máy chủ được sử dụng để quản lý cả bản macOS và iOS của LightSpy.
Khám phá này cho phép ThreatFabric tiến hành một phân tích chi tiết mới về phần mềm độc hại nhắm vào iOS và công bố vào ngày hôm nay, phát hiện ra nhiều cập nhật đáng chú ý so với phiên bản năm 2020.
Phiên bản mới nhất này, được xác định là 7.9.0, có tính phức tạp và linh hoạt hơn, có 28 plugin so với 12 quan sát trong phiên bản trước đó. Bảy trong số các plugin này được thiết kế đặc biệt để can thiệp vào chức năng của thiết bị, với khả năng bao gồm đóng băng thiết bị và ngăn chặn khởi động lại.
Phần mềm độc hại này thu được quyền truy cập ban đầu bằng cách lợi dụng các lỗ hổng đã biết trong Safari và tăng cường đặc quyền sử dụng các kỹ thuật jailbreak, cho phép nó truy cập vào các chức năng và dữ liệu cốt lõi của thiết bị.
#LightSpy #iOS #ThreatFabric #Malware #Spyware
Bạn đọc tiếp theo tại: Spyware Predator hướng tới điện thoại di động ở các quốc gia mới
Nguồn: https://www.infosecurity-magazine.com/news/lightspy-spyware-targets-ios/
A newer version of the LightSpy spyware, known for targeting iOS devices, has been expanded to include capabilities for compromising device security and stability.
ThreatFabric, who discovered the malware, initially published a report on LightSpy for macOS in May 2024. During that investigation, the analysts found that the same server was being used to manage both macOS and iOS versions of LightSpy.
This discovery allowed ThreatFabric to conduct a new, detailed analysis of the spyware targeting iOS and published today, finding notable updates compared to the 2020 version.
This latest version, identified as 7.9.0, is more sophisticated and adaptable, featuring 28 plugins compared to the 12 observed in the earlier version. Seven of these plugins are specifically designed to interfere with device functionality, with capabilities that include freezing the device and preventing it from rebooting.
The spyware gains initial access by exploiting known vulnerabilities in Safari and escalates privileges using jailbreak techniques, enabling it to access core device functions and data.
Key Findings in Spyware Infrastructure
To support these malicious activities, ThreatFabric’s analysts identified five active command-and-control (C2) servers linked to the iOS version of LightSpy. They used open-source intelligence methods to trace self-signed certificates across these servers, each set up to manage infected devices and store exfiltrated data.
Notably, one of the servers appeared to host an administrator panel, hinting that this infrastructure may be used for demonstration purposes as well, potentially showcasing LightSpy’s capabilities to outside parties.
Specific Targets and Regional Indicators
Analysis of the C2 logs showed 15 infected devices, of which eight were iOS. Most of these devices appeared to originate from China or Hong Kong, often connecting through a Wi-Fi network labeled Haso_618_5G, which researchers suspect is a test network.
ThreatFabric’s investigation also found that LightSpy contains a unique plugin for recalculating location data specifically for Chinese systems, suggesting that the spyware’s developers may be based in China.
Mitigation Recommendations
Given the use of “1-day exploits,” LightSpy’s operators take advantage of vulnerabilities soon after they are publicly disclosed.
ThreatFabric recommends that iOS users reboot devices regularly, as LightSpy’s reliance on a “rootless jailbreak” means infections do not survive a reboot, offering users a simple but effective means to disrupt persistent spyware infections.
