Los piratas informáticos suelen atacar iOS debido a su base de usuarios y a las vulnerabilidades de seguridad percibidas. A pesar de las sólidas medidas de seguridad de Apple, los atacantes pueden explotar fallas en el sistema operativo o en aplicaciones de terceros para obtener “acceso no autorizado” a su dispositivo.
Los investigadores de ThreatFabric descubrieron recientemente que el malware LightSpy para iOS se ha actualizado para incluir 28 complementos con funcionalidad destructiva.
El malware LightSpy para iOS ha sido actualizado
En mayo de 2024, la empresa de ciberseguridad ThreatFabric reveló avances significativos en el ecosistema de malware LightSpy que revelaron una “infraestructura de servidor integrada” que dirige campañas tanto para “macOS” como para “iOS”.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Su investigación identificó una versión avanzada de “LightSpy” para iOS (versión 7.9.0, actualizada desde la versión 6.0.0) y demostró mejoras significativas en su funcionalidad maliciosa.
La arquitectura de malware se ha ampliado para incluir 28 complementos diferentes (en comparación con los 12 originales), 7 de los cuales admiten específicamente comandos como “/usr/sbin/nvram auto-boot=false” Contiene complementos diseñados específicamente para apuntar al proceso de arranque e interferir con el funcionamiento del dispositivo.
Cadena de ataque (Fuente – ThreatFabric)
Los 28 complementos se explican a continuación.
Eliminar aplicación BaseInfo Bootdestroy Navegador Eliminar navegador Módulo de cámara Contacto Eliminar Eliminar KernelFile Eliminar Spring Environmental Registro de archivos Administrar ios_line ios_mail ios_qq ios_telegram ios_wechat ios_whatsapp KeyChain landdevices Ubicación Medios Eliminar PushMessage Screen_cap ShellCommand SMS Eliminar SoftInfo Wifi Eliminar WifiList
Los actores de amenazas ampliaron el alcance de sus ataques aprovechando dos vulnerabilidades de seguridad críticas para admitir versiones de iOS hasta 13.3:
“CVE-2020-9802” Acceso inicial al sistema mediante explotación WebKit. “CVE-2020-3837” para obtener privilegios elevados del sistema.
El malware mantiene la comunicación a través de cinco servidores “C2” activos utilizando “conexiones WebSocket” para la transmisión de datos, con la última marca de tiempo de implementación registrada el 26 de octubre de 2022.
La cadena de infección comienza con un “sistema de entrega de exploits basado en HTML”, seguido de una fase de jailbreak que implementa “FrameworkLoader” (también conocido como “ircloader”), que instala el “núcleo LightSpy” principal. y sus complementos. Ahora es más fácil.
Proyecto del kit GitHub Jailbreak (Fuente: ThreatFabric)
Además de esto, las características notables incluyen “Cifrado AES ECB” con la clave “3e2717e8b3873b29” para “Datos de configuración”, “Implementación de base de datos SQL para almacenamiento de comandos” (usando light.db) y “Contiene complementos avanzados”.
Los complementos son 'ios_mail', que apunta a la aplicación Mail Master de NetEase para comprometer el correo electrónico, y 'PushMessage', que genera notificaciones push engañosas a través del puerto 8087.
LightSpy opera a través de la dirección IP “103.27.109(.)217” y utiliza un “certificado SSL autofirmado” para la infraestructura “C2”.
El malware se dirige a versiones específicas de iOS a través de exploits de 1 día (vulnerabilidades divulgadas) y ataques de abrevadero (compromisos de sitios web legítimos), y también se dirige a versiones específicas de iOS a través de exploits de 1 día (vulnerabilidades divulgadas públicamente) y ataques de abrevadero (compromisos de sitios web legítimos) y crea un ataque de raíz que no persiste después de reiniciar el dispositivo. Usamos la tecnología “Res Jailbreak”.
Esta infraestructura incluía dos paneles de administración en los puertos '3458' y '53501' y un servidor de control adicional en '222.219.183(.)84'.
El análisis de los datos filtrados reveló que 15 víctimas (8 dispositivos iOS) eran principalmente de China y Hong Kong, y estaban conectadas a una red Wi-Fi llamada Haso_618_5G.
La funcionalidad principal del malware (versión 7.9.0) incluía características destructivas como “borrar lista de contactos” y “eliminar componentes del sistema” implementadas a través de varios complementos.
La inspección del código fuente identifica nombres de usuario individuales ('air', 'mac', 'test') y rutas de archivos (por ejemplo, /Users/air/work/znf_ios/ios/, /Users/mac/dev/iosmm/). lo que tienes ha quedado claro. .), sugiriendo un equipo de al menos tres desarrolladores.
Además de esto, los indicadores técnicos como un sistema de recálculo de coordenadas “específico de China” en el complemento de ubicación y los marcadores chinos en el “archivo de encabezado Xcode” sugieren fuertemente orígenes chinos.
La eficacia del malware se vio parcialmente limitada por el ciclo de actualización de iOS, pero los usuarios de las regiones afectadas por el Gran Cortafuegos de China seguían siendo vulnerables debido al acceso limitado a las actualizaciones del sistema.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
