جاسوس افزار جدید LightSpy iOS را با قابلیت های پیشرفته هدف قرار می دهد

آ،ین نسخه LightSpy که به دلیل هدف قرار دادن دستگاه های iOS شناخته شده است، گسترش یافته است تا قابلیت هایی برای به خطر انداختن امنیت و ثبات دستگاه را در بر گیرد.

ThreatFabric که این ب،زار را کشف کرد، در ابتدا گزارشی در مورد LightSpy برای macOS در ماه مه 2024 منتشر کرد. در طی آن تحقیقات، تحلیلگران دریافتند که از یک سرور برای مدیریت هر دو نسخه macOS و iOS LightSpy استفاده شده است.

این کشف به ThreatFabric اجازه داد تا تجزیه و تحلیل جدید و دقیقی از جاسوس افزاری که iOS را هدف قرار می دهد انجام دهد که در آن به روزرس، های قابل توجهی در مقایسه با نسخه 2020 یافت شد.

این آ،ین نسخه، با نام 7.9.0، پیچیده تر و سازگارتر است و دارای 28 مؤلفه اضافی در مقایسه با 12 مؤلفه موجود در نسخه قبلی است. هفت مورد از این پلاگین ها به طور خاص برای تداخل در عملکرد دستگاه طراحی شده اند، با قابلیت هایی که شامل فریز ، دستگاه و جلوگیری از راه اندازی مجدد آن می شود.

این جاسوس افزار با بهره برداری از آسیب پذیری های شناخته شده در سافاری، دسترسی اولیه را به دست می آورد و با استفاده از تکنیک های فرار از زندان، امتیازات را افزایش می دهد و به آن امکان دسترسی به عملکردها و داده های اولیه دستگاه را می دهد.

یافته های کلیدی در زیرساخت نرم افزارهای جاسوسی

برای پشتیب، از این فعالیت های م،ب، تحلیلگران ThreatFabric پنج سرور فرمان و کنترل فعال (C2) مرتبط با نسخه iOS LightSpy را شناسایی ،د. آنها از روش های اطلاعاتی منبع باز برای ردیابی گواهی های خودامضا در این سرورها استفاده ،د، که هر کدام برای مدیریت دستگاه های آلوده و ذخیره داده های لو رفته تنظیم شده بودند.

شایان ذکر است که به نظر می رسد یکی از سرورها میزبان یک پنل مدیریتی است، که نشان می دهد این زیرساخت می تواند برای اه، نمایشی نیز استفاده شود و به طور بالقوه قابلیت های LightSpy را در معرض دید اشخاص ثالث قرار دهد.

درباره تهدیدات جاسوس افزارهای نوظهور در امنیت سایبری بیشتر بخو،د: جاسوس افزار Predator تلفن های همراه را در کشورهای جدید هدف قرار می دهد

اه، خاص و شاخص های منطقه ای

تجزیه و تحلیل گزارش های C2 15 دستگاه آلوده، از جمله هشت دستگاه دارای iOS را نشان داد. به نظر می رسد که بیشتر این دستگاه ها از چین یا هنگ کنگ سرچشمه می گیرند و اغلب از طریق یک شبکه Wi-Fi به نام Haso_618_5G که محققان گمان می کنند یک شبکه آزمایشی است، متصل می شوند.

تحقیقات ThreatFabric همچنین نشان داد که LightSpy حاوی یک پلاگین منحصر به فرد برای مح،ه مجدد داده های مکان است که به طور خاص برای سیستم های چینی است که نشان می دهد توسعه دهندگان این نرم افزارهای جاسوسی ممکن است در چین مستقر باشند.

توصیه های کاهش

با توجه به استفاده از "ا،پلویت های یک روزه"، اپراتورهای LightSpy بلافاصله پس از افشای عمومی از آسیب پذیری ها استفاده می کنند.

ThreatFabric به کاربران iOS توصیه می کند دستگاه ها را به طور منظم راه اندازی مجدد کنند، زیرا اتکای LightSpy به «جیل بریک بدون ریشه» به این م،ی است که عفونت ها از راه اندازی مجدد جان سالم به در نمی برند و راهی ساده اما مؤثر برای غیرفعال ، عفونت های دائمی نرم افزارهای جاسوسی در اختیار کاربران قرار می دهد.