VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản cải tiến của phần mềm gián điệp Apple iOS có tên là LightSpy, không chỉ mở rộng chức năng mà còn tích hợp khả năng phá hoại để ngăn thiết bị bị xâm nhập khởi động.

ThreatFabric cho biết trong một phân tích được công bố tuần này: "Mặc dù phương pháp phân phối phần mềm cấy ghép iOS khá giống với phiên bản macOS, nhưng các giai đoạn sau khi khai thác và leo thang đặc quyền lại khác biệt đáng kể do sự khác biệt giữa các nền tảng".


LightSpy, lần đầu tiên được ghi nhận vào năm 2020 là nhắm vào người dùng ở Hồng Kông, là một phần mềm cấy ghép dạng mô- đun sử dụng kiến trúc dựa trên plugin để tăng cường khả năng và cho phép thu thập nhiều thông tin nhạy cảm từ thiết bị bị nhiễm.

Các chuỗi tấn công phân phối phần mềm độc hại tận dụng các lỗ hổng bảo mật đã biết trong Apple iOS và macOS để kích hoạt lỗ hổng WebKit, thả tệp có phần mở rộng ".PNG", nhưng thực chất là tệp nhị phân Mach-O có chức năng truy xuất các tải trọng giai đoạn tiếp theo từ máy chủ từ xa bằng cách lợi dụng lỗ hổng hỏng bộ nhớ được theo dõi là CVE-2020-3837.

Điều này bao gồm một thành phần có tên là FrameworkLoader, thành phần này sẽ tải xuống mô-đun Core của LightSpy và các plugin khác nhau, đã tăng đáng kể từ 12 lên 28 trong phiên bản mới nhất (7.9.0).

Công ty bảo mật của Hà Lan cho biết: "Sau khi Core khởi động, nó sẽ thực hiện kiểm tra kết nối Internet bằng tên miền   Đăng nhập để xem liên kết, sau đó sẽ kiểm tra các đối số được truyền từ FrameworkLoader dưới dạng dữ liệu [lệnh và điều khiển] và thư mục làm việc".

"Sử dụng đường dẫn thư mục làm việc /var/containers/Bundle/AppleAppLit/, Core sẽ tạo các thư mục con cho nhật ký, cơ sở dữ liệu và dữ liệu đã trích xuất."

Các plugin này có thể thu thập nhiều loại dữ liệu, bao gồm thông tin mạng Wi-Fi, ảnh chụp màn hình, vị trí, iCloud Keychain, bản ghi âm, ảnh, lịch sử trình duyệt, danh bạ, lịch sử cuộc gọi và tin nhắn SMS, cũng như thu thập thông tin từ các ứng dụng như Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat và WhatsApp.


Một số plugin mới được thêm vào cũng tự hào có các tính năng phá hoại có thể xóa các tệp phương tiện, tin nhắn SMS, hồ sơ cấu hình mạng Wi-Fi, danh bạ và lịch sử trình duyệt, thậm chí đóng băng thiết bị và ngăn không cho thiết bị khởi động lại. Hơn nữa, các plugin LightSpy có thể tạo thông báo đẩy giả có chứa một URL cụ thể.

Phương tiện phân phối chính xác của phần mềm gián điệp vẫn chưa rõ ràng, mặc dù người ta tin rằng nó được dàn dựng thông qua các cuộc tấn công watering hole. Các chiến dịch này vẫn chưa được xác định là do một tác nhân hoặc nhóm đe dọa nào được biết đến cho đến nay.

Tuy nhiên, có một số bằng chứng cho thấy các nhà điều hành có thể có trụ sở tại Trung Quốc do plugin định vị "tính toán lại tọa độ vị trí theo hệ thống được sử dụng riêng tại Trung Quốc". Cần lưu ý rằng các nhà cung cấp dịch vụ bản đồ Trung Quốc tuân theo hệ thống tọa độ có tên là GCJ-02.

"Vụ LightSpy iOS nhấn mạnh tầm quan trọng của việc cập nhật hệ thống", ThreatFabric cho biết. "Những kẻ đe dọa đằng sau LightSpy theo dõi chặt chẽ các ấn phẩm từ các nhà nghiên cứu bảo mật, tái sử dụng các khai thác mới được tiết lộ để phân phối tải trọng và nâng cao đặc quyền trên các thiết bị bị ảnh hưởng".