LightSpyはインフォスティーラー型マルウェアです。
従来から観測されていたプラグインベースのアーキテクチャを採用して機能を拡張するタイプのマルウェアです。
これまでに確認されていたのはAndroid版、macOS版、iOS版がありました。
これらのなかの、iOS版の新しいものが検出されています。
- time_waste
time_wasteは広い範囲のiOSのバージョンに対応しているジェイルブレイクキットです。
これはGitHubで公開されています。
これを使ってCVE-2020-3837を悪用します。 - CVE-2020-3837
CVE-2020-3837は、アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある脆弱性です。
この脆弱性を悪用して攻撃行為を開始します。
始まりのファイルはHTMLファイルなのですが、この脆弱性を悪用する内容を含んでいます。 - 20012001330.pngと20012001241.png
これらのファイルはファイル名としては画像ファイルです。
しかし、実際には、このなかの情報は次の段階の攻撃コードを入手するためのURLが含められています。
これらのファイルは侵害対象の環境によって使い分けられます。
HTMLの中のコードがこれらを入手します。 - FrameworkLoader
FrameworkLoaderはローダーです。
画像拡張子のファイルから取り出したURLから入手される内容にこれが含まれています。
そして、このローダーがLightSpyを侵害環境に取り込みます。
取り込むのは、LightSpyのcoreモジュールと多数のプラグインです。
プラグインの数は12個だったこともあったのですが、現在では28個に達しています。
このマルウェアの各プラグインは、さまざまに情報を取り出します。
メディアファイル、SMSメッセージ、Wi-Fiネットワーク構成プロファイル、連絡先を取得します。
そして、ブラウザー履歴を削除できますし、デバイスをフリーズさせて再起動できないようにする破壊的な機能をもっているものもあります。
特定のURLを含む偽のプッシュ通知を生成することもできます。
攻撃行動そのものにはデバイスをフリーズさせる機能は利用されないと思われます。
フリーズさせてしまうと情報を抜き出せませんので。
しかし、このマルウェアが高い機能性を持っているということをアピールする目的で作成された宣伝用のプラグインなのかもしれません。
この脅威も、脆弱性対策が十分にできていれば脅威ではないと考えられます。
メンテナンスが提供されなくなったものを継続利用することは危険ということですね。
LightSpy: Implant for iOS
https://www.threatfabric.com/blogs/lightspy-implant-for-ios
| この記事をシェア |
|
|---|
