Un nuevo implante espía de Apple iOS llamado LightSpy ha sido descubierto en una reciente campaña de ciberespionaje dirigida a usuarios en el sur de Asia. El informe publicado por el equipo de Investigación e Inteligencia de Amenazas de BlackBerry identificó la última iteración de LightSpy como «F_Warehouse«, un marco modular con numerosas funciones de espionaje. Según VirusTotal, la campaña podría haberse dirigido a India. LightSpy es una puerta trasera avanzada de iOS que se distribuye a través de ataques de agua dulce a través de sitios web comprometidos.
El malware, descubierto en 2020 por Trend Micro y Kaspersky, se ha asociado con el grupo estatal chino APT41 (conocido como Winnti) y se cree que puede ingresar a través de sitios web de noticias que han sido pirateados y que son conocidos por ser visitados regularmente por los objetivos. El cargador de primera etapa que actúa como una plataforma de lanzamiento para LightSpy actúa como el punto de partida.
LightSpy es capaz de recopilar información sensible, incluyendo contactos, mensajes de SMS, datos de ubicación y grabaciones de sonido durante las llamadas VoIP, así como datos de aplicaciones populares como Telegram, QQ, WeChat y datos de iCloud Keychain. Además, puede robar el historial del navegador web de Safari y Google Chrome, así como también ejecutar comandos de shell y tomar fotografías y grabar audio con la cámara del dispositivo.
La comunicación con el servidor de comando y control de LightSpy evita la detección y la interceptación utilizando pines de certificación. También existe la posibilidad de que la actividad sea patrocinada por el Estado debido a la implicación de hablantes chinos nativos. LightSpy también se comunica con un servidor ubicado en 103.27[.]109[.]217, que muestra un panel de administración en chino cuando se ingresan credenciales de inicio de sesión incorrectas.
Blackberry advierte que la última versión de LightSpy presenta un grave riesgo para las personas y organizaciones objetivo en el sur de Asia y señala una escalada en las amenazas de espionaje móvil.
Vía The Hacker News
