LightSpy: implantátum iOS-hez
2024 májusában a ThreatFabric közzétett egy jelentést a LightSpy macOS-ről. A vizsgálat során felfedezték, hogy a fenyegető szereplő ugyanazt a szervert használta mind a macOS, mind az iOS kampányokhoz. Ennek köszönhetően a LightSpy for iOS legfrissebb mintáit is meg tudták szerezni. A megszerzett fájlok rövid elemzése után arra a következtetésre jutottak, hogy ez a verzió némileg eltér a kutatók által 2020-ban tárgyalt verziótól.
A LightSpy Core for iOS korábban dokumentált verzióját „6.0.0”-ként azonosították. A szerverről kapott verzió azonban „7.9.0” volt. A frissítések túlmutattak magán a Core-on – a plugin-készlet jelentősen megnőtt, 12-ről 28 pluginra. Figyelemre méltó, hogy ezek közül hét bővítmény destruktív képességekkel rendelkezik, amelyek zavarhatják az eszköz indítási folyamatát. A ThreatFabric jelentésében a LightSpy for iOS legújabb verzióját vizsgálják meg, a hozzá tartozó bővítményekkel együtt.
A jelentés szerint a fenyegetőszereplő kiterjesztette az iOS platform támogatását a 13.3-as verzióig. A kezdeti hozzáféréshez a Safari CVE-2020-9802 sérülékenység nyilvánosan elérhető exploit kódját, a jogosultságok kiterjesztéséhez pedig a CVE-2020-3837 exploitját használták. A kiberszereplő több kampányt is futtatott különböző bővítménykészletekkel. Az egyik konkrét kampány olyan bővítményeket tartalmazott, amelyek képesek voltak megzavarni az operációs rendszer stabilitását, és olyan képességekkel rendelkeztek, amelyekkel lefagyaszthatták a készüléket, vagy akár megakadályozhatták annak indítását.
