ThreatFabric kompaniyasining tadqiqotchilari iOS operatsion tizimi uchun mo‘ljallangan LightSpy josuslik dasturining yangi va yanada kuchli versiyasini aniqlashdi. Bu yangi versiya nafaqat o‘z funksionallarini kengaytiribgina qolmay, balki yuqtirilgan qurilmani ishlamay qolishiga olib keladigan buzg‘unchilik xususiyatlariga ham ega. LightSpyning yangi versiyasi iOS tizimidagi zaif joylardan foydalanishda macOS tizimidagi usullarga nisbatan farq qiladi, garchi zararli dasturni tarqatish usullari o‘xshash bo‘lsa-da.

LightSpy ilk bor 2020 yilda hujjatlashtirilgan bo‘lib, Gonkong foydalanuvchilariga qaratilgan. Bu zararli dastur modulli arxitekturadan foydalanib, yuqtirilgan qurilmalardan keng ko‘lamda maʼlumotlarni yig‘a oladi. Zararli dastur iOS va macOS tizimidagi zaif joylar orqali tarqatiladi. Tahlil qilingan kampaniyada WebKit uchun eksploit qo‘llaniladi, u «.PNG» formatidagi fayl yuklashni boshlab beradi va unda boshqa zararli komponentlarni uzoq serverdan yuklash uchun Mach-O binar kodi yashiriladi.

LightSpyning asosiy komponenti bo‘lgan FrameworkLoader josuslik dasturining yadrosini va 28 ta plaginni yuklaydi (oldingi versiyada 12 ta plagin bo‘lgan). Yadro ishga tushirilgach, LightSpy internetga ulanishni tekshiradi va maʼlumotlarni «Baidu[.]com» domeni orqali yuboradi, shuningdek, loglar va yuklangan maʼlumotlarni saqlash uchun ishchi direktoriya yaratadi.

LightSpy plaginlari keng ko‘lamda maʼlumot yig‘ish imkoniyatlariga ega, jumladan, Wi-Fi tarmoqlari haqidagi maʼlumotlar, skrinshotlar, geolokatsiya, iCloud Keychain, audio yozuvlar, suratlar, brauzer tarixi, kontaktlar, qo‘ng‘iroqlar ro‘yxati va SMS xabarlar. Ular shuningdek, LINE, Telegram, WeChat va WhatsApp kabi mashhur messenjerlardan maʼlumotlarni olish imkonini beradi.

LightSpyning yangi versiyasida, shuningdek, media fayl, kontaktlar, xabarlar va hatto Wi-Fi konfiguratsiyalarini o‘chirish qobiliyatiga ega bo‘lgan buzg‘unchilik funksiyalari paydo bo‘ldi. Baʼzi plaginlar qurilmani to‘liq muzlatib qo‘yishi mumkin, bu esa uni yanada foydalanish imkonini bermaydi. Shuningdek, foydalanuvchini zararli saytga yo‘naltiruvchi muayyan havola bilan soxta push-xabarlar yuborish imkoniyati ham mavjud.

LightSpy tarqatish usullari nomaʼlum bo‘lib qolmoqda, ammo buning uchun Watering Hole hujumlari qo‘llanilishi mumkin deb taxmin qilinmoqda. Tadqiqotchilar josuslik dasturi operatorlari Xitoyda bo‘lishi mumkinligiga ishora qiladigan bilvosita dalillarni ko‘rsatadilar, chunki geolokatsiya plagini faqat Xitoyda qabul qilingan GCJ-02 koordinatlar tizimini ishlatadi.

ThreatFabric ekspertlari shunday xavflardan himoyalanish uchun operatsion tizimlarni doim yangilab turishning ahamiyatini taʼkidlaydilar. LightSpy ishlab chiqaruvchilari xavfsizlik tadqiqotchilarining yangi nashrlarini faol kuzatib borib, qurilmalarni boshqarish uchun yangi zaif joylarni o‘z eksploitlariga kiritishga harakat qiladilar.