Cuidado: O LightSpy Malware está sendo Implantado pela Cadeia de Exploração do iOS

Um ataque de watering hole foi descoberto pelos pesquisadores de segurança da Kaspersky em 10 de janeiro de 2020. Ele utilizou remotamente uma cadeia de exploração iOS para implantar o malware LightSpy. O ataque foi direcionado aos moradores de Hong Kong, com o malware sendo instalado em smartphones. A Kaspersky alertou os usuários que acreditam que os seus iPhones são imunes a malware.

Como o LightSpy Encontra o Seu Caminho nos Dispositivos iOS

O malware acabou infectando smartphones das vítimas quando elas visitaram alguns sites que se disfarçavam de fontes de notícias locais. Os atacantes copiaram o código de meios de comunicação reais e criaram os seus clones dos meios de comunicação.

Os sites foram criados com o objetivo de carregar explorações em qualquer smartphone que os utilizasse, o que resultou na instalação do LightSpy. Os links para esses sites falsos estavam sendo distribuídos pelos fóruns populares de Hong Kong. Uma simples visita a uma dessas páginas maliciosas foi suficiente para infectar um smartphone; não havia necessidade de interagir com os elementos do site.

Exposto o Funcionamento Interno do Malware LightSpy

O LightSpy é um malware equipado com um backdoor modular, permitindo que os atacantes executem remotamente comandos em um dispositivo infectado. Um exemplo disso pode ser visto quando os invasores podem extrair a localização do smartphone, sua lista de contatos, histórico de chamadas e muito mais. Eles podem até ver quais redes Wi-Fi a vítima estava conectada, verificar redes locais, detectar IPs e enviar dados para os seus servidores de Comando e Controle (C&C) remotos. O backdoor também pode roubar informações do Keychain (a chave de criptografia do iOS e o armazenamento de senhas). Também pode obter dados dos aplicativos de mensagens WeChat, Telegram e QQ.

O que os pesquisadores acharam interessante foi que os invasores não utilizaram vulnerabilidades de dia zero, mas sim a vulnerabilidade de primeiro dia. Ou seja, eles encontraram buracos pelos quais as correçōes foram lançadas, mas foram incluídas apenas nas últimas atualizações do sistema. Os usuários do iOS que conseguiram atualizar os seus dispositivos rapidamente ficaram imunes a esse ataque. Naturalmente, muitos usuários não obtiveram as atualizações com rapidez suficiente; portanto, o ataque ameaçava os usuários que executavam o iOS 12.1 e 12.2, afetando o iPhone 6 ao iPhone X.

Como os Usuários podem Se Proteger contra o LightSpy

No momento, não está claro se o LightSpy pode ou não atingir usuários fora de Hong Kong e de falantes de chinês em geral. A possibilidade da ameaça transcender as suas origens e chegar a uma gama mais ampla de usuários está sempre presente; portanto, os usuários são aconselhados a tomar medidas para proteger os seus dispositivos contra invasões. Tomar as medidas descritas a seguir pode ajudar bastante nesse caso específico:

• É necessária a instalação da versão mais recente do sistema operacional, mesmo que os usuários tenham dúvidas devido a problemas no iOS 13. A correção de falhas de segurança é necessária para manter os dispositivos mais seguros contra ameaças como o LightSpy.
• Tenha muito cuidado ao abrir links, especialmente os enviados por estranhos nas mídias sociais ou nos aplicativos de mensagens. Mesmo quando os links parecem genuínos ou apontam para um site conhecido, verificar o endereço e não segui-lo é uma excelente maneira de evitar possíveis infecções.
• Use apenas fontes de download de aplicativos confiáveis, pois lojas não oficiais podem ter aplicativos infectados por malware.