Как шпионский зловред LightSpy заражал айфоны жителей Гонконга

В ходе кибератаки в Гонконге на айфоны посетителей поддельных новостных сайтов автоматически устанавливался шпионский зловред LightSpy.

Как шпионский зловред LightSpy заражал айфоны жителей Гонконга

В январе этого года эксперты обнаружили масштабную атаку типа watering hole, нацеленную на жителей Гонконга, в ходе которой на смартфоны жертв устанавливался многофункциональный зловред для iOS под названием LightSpy. Это очередное напоминание всем, кто считает устройства Apple, в частности айфоны, неуязвимыми для вредоносного ПО, — они, конечно, защищены, но далеко не полностью.

Как LightSpy заражал iOS устройства

Зловред попадал на смартфоны жертв, когда они посещали одну из нескольких страниц, замаскированных под местные новостные ресурсы. Злоумышленники просто копировали код настоящих ресурсов и создавали собственные клоны новостных сайтов.

С этих ресурсов на смартфоны посетителей загружалась целая пачка эксплойтов, результатом работы которых была собственно установка самого LightSpy. Ссылки на поддельные сайты распространялись через популярные в Гонконге форумы. Достаточно было просто зайти на зловредную страницу — и все, айфон заражен. Даже нажимать ничего не требовалось.

Что такое LightSpy

Зловред LightSpy представляет собой модульный бэкдор, с помощью которого злоумышленник может удаленно выполнять команды на зараженном устройстве и вообще проделывать с телефоном жертвы много неприятных вещей.

Например, определять местоположение смартфона, получать список контактов и историю звонков, смотреть, к каким сетям Wi-Fi жертва подключалась, сканировать локальную сеть и отправлять на сервер данные обо всех выявленных IP-адресах. Кроме этого, у бэкдора есть модули для кражи информации из Keychain (так называется хранилище паролей и ключей шифрования в iOS) и данных из мессенджеров WeChat, QQ и Telegram.

Что интересно, злоумышленники использовали не уязвимости нулевого дня, а так называемые уязвимости первого дня, то есть недавно обнаруженные дыры, патчи к которым уже выпущены, но вошли только в последние обновления системы. Получается, что те, кто своевременно обновлялся, заразиться не могли, но, естественно, вовремя iOS на своих устройствах обновили не все. В группе риска оказались владельцы смартфонов под управлением iOS 12.1 и 12.2 (проблема затрагивает модели от iPhone 6s до iPhone X).

Как защититься от шпионского зловреда LightSpy

Пока сложно сказать, получит ли LightSpy распространение за пределами Поднебесной, но, как показывает практика, такие наборы инструментов «идут в народ» довольно часто, и потому не стоит думать, что проблема обойдет вас стороной. Лучше принять меры заранее:

  • Установите последнюю версию операционной системы. Если вы не хотите этого делать из-за проблем с iOS 13, не переживайте: в текущей версии (13.4) баги с подключением к Wi-Fi и прочие неприятные мелочи были исправлены.
  • С осторожностью переходите по ссылкам, особенно присланным незнакомцами. Даже если они на первый взгляд ведут на известный сайт, не будет лишним проверить правильность адреса.
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.