Según el portal de noticias The Hacker News, existe una campaña recién descubierta que está dirigida contra los usuarios de iPhone de Apple en Hong Kong mediante el uso de enlaces maliciosos a sitios web como un señuelo para instalar spyware en los dispositivos.
Según una investigación publicada por Trend Micro y Kaspersky, el ataque que ha sido bautizado como “Operation Poisoned News“, aprovecha una cadena remota de exploits de iOS para desplegar un malware rico en funciones llamado ‘LightSpy‘ a través de enlaces a sitios web de noticias locales, que cuando se hace click, ejecuta la carga del malware y permite que un intruso extraiga datos confidenciales del dispositivo afectado e incluso tome el control total del dispositivo.
La campaña utiliza enlaces falsos publicados en múltiples foros, todos populares entre los residentes de Hong Kong, que afirman conducir a varias noticias relacionadas con temas relacionados con el sexo, clickbait o noticias relacionadas con la actual pandemia de coronavirus COVID-19.
Al hacer clic en las URL, los usuarios acceden a los medios de comunicación legítimos que se han visto comprometidos, así como a sitios web configurados específicamente para esta campaña (por ejemplo el website, hxxps://appledaily.googlephoto.Vip/news.Html) por parte de los operadores. En ambas situaciones, se utiliza un iframe oculto para cargar y ejecutar código malicioso.
Los investigadores de Tend Micro dijeron: “Las URL utilizadas condujeron a un sitio web malicioso creado por el atacante, que a su vez contenía tres iframes que apuntaban a sitios diferentes. El único iframe visible conduce a un sitio de noticias legítimo, lo que hace que las personas crean que están visitando dicho sitio. Un iframe invisible se usó para el análisis del sitio web; el otro condujo a un sitio que albergaba el script principal de las vulnerabilidades de iOS“.
El malware en cuestión explota una vulnerabilidad de Safari “parcheada en silencio”, que cuando se procesa en el navegador conduce a la explotación de un uso después de una falla de memoria libre (identificada como la vulnerabilidad CVE-2019-8605) que permite a un atacante ejecutar código arbitrario con privilegios de root en este caso, con los cuales se instala la puerta trasera LightSpy. Desde entonces, el error se resolvió con el lanzamiento de iOS 12.3, macOS Mojave 10.14.5, tvOS 12.3 y watchOS 5.2.1.
El spyware no solo es capaz de ejecutar remotamente comandos de shell y tomar el control total del dispositivo. También contiene una variedad de módulos descargables que permiten la filtración de datos, como listas de contactos, ubicación GPS, historial de conexión Wi-Fi, datos de hardware, las claves de seguridad de iOS, registros de llamadas telefónicas, historial de Safari móvil y navegador Chrome y mensajes SMS.
Además, LightSpy apunta a aplicaciones de mensajería como Telegram, QQ y WeChat para robar información de cuentas, contactos, grupos, mensajes y archivos adjuntos.
Se sospecha que la pandilla TwoSail Junk está conectada o posiblemente es la misma que operaba el malware “dmsSpy“, una variante de Android del mismo malware que se distribuyó el año pasado a través de canales abiertos de Telegram bajo la apariencia de aplicaciones de calendario de protesta de Hong Kong.
Una vez instaladas, estas aplicaciones de Android deshonestas cosecharon y extrajeron contactos, mensajes de texto, la ubicación del usuario y los nombres de los archivos almacenados.
Trend Micro, por su parte, sugirió que el diseño y la funcionalidad de la campaña tienen como objetivo comprometer tantos dispositivos móviles como sea posible para permitir la instalación de la puerta trasera y la vigilancia del dispositivo.
Para mitigar tales amenazas, es esencial que los usuarios mantengan sus dispositivos actualizados y eviten cargar aplicaciones en Android de fuentes no autorizadas.