Hacker nutzten lokale Nachrichten-Websites zur Installation von Spyware auf iPhones

Eine neu entdeckte Kampagne richtet sich an Apple iPhone-Benutzer in Hongkong, indem sie bösartige Website-Links als Köder benutzt, um Spyware auf den Geräten zu installieren.

Laut einer von Trend Micro und Kaspersky veröffentlichten Untersuchung hat die "Operation Vergiftete Nachrichten" Angriff nutzt eine entfernte iOS-Exploit-Kette, um ein funktionsreiches Implantat namens "LightSpy" über Links zu lokalen Nachrichten-Websites einzusetzen, das, wenn es angeklickt wird, die Malware-Nutzlast ausführt und es einem Interloper ermöglicht, sensible Daten aus dem betroffenen Gerät herauszufiltern und sogar die volle Kontrolle zu übernehmen.

Bei Tränke-Angriffen kann ein böser Akteur normalerweise eine bestimmte Gruppe von Endbenutzern kompromittieren, indem er Websites infiziert, die sie bekanntermaßen besuchen, mit der Absicht, Zugang zum Gerät des Opfers zu erhalten und es mit Malware zu laden.

Die APT-Gruppe, die von Kaspersky "TwoSail Junk" genannt wird, soll Schwachstellen in iOS 12.1 und 12.2 ausnutzen, die alle Modelle von iPhone 6 bis iPhone X umfassen, wobei die Angriffe zunächst am 10. Januar identifiziert wurden, bevor sie sich um den 18. Februar herum verstärkten.

Bösartige Links als Köder zur Installation von Spyware

Die Kampagne verwendet gefälschte Links, die in mehreren Foren gepostet wurden, die alle bei den Einwohnern Hongkongs beliebt sind und die behaupten, zu verschiedenen Nachrichtenmeldungen zu Themen zu führen, die entweder mit Sex, Klickködern oder Nachrichten im Zusammenhang mit der laufenden COVID-19-Coronavirus-Pandemie zu tun haben.Das Anklicken der URLs führt die Benutzer zu legitimen Nachrichtenquellen, die kompromittiert wurden, sowie zu Websites, die von den Betreibern speziell für diese Kampagne eingerichtet wurden (z.B. hxxps://appledaily.googlephoto[.]vip/news[.]html). In beiden Situationen wird ein versteckter Iframe zum Laden und Ausführen von bösartigem Code verwendet.

"Die verwendeten URLs führten zu einer vom Angreifer erstellten bösartigen Website, die wiederum drei Iframes enthielt, die auf verschiedene Websites verwiesen", so die Forscher von Trend Micro. "Der einzige sichtbare Iframe führt zu einer legitimen Nachrichten-Site, was die Leute glauben lässt, dass sie die besagte Site besuchen. Ein unsichtbarer Iframe wurde für die Website-Analyse verwendet; der andere führte zu einer Site, die das Hauptskript der iOS-Exploits enthielt.Die fragliche Malware nutzt eine "heimlich gepatchte" Safari-Schwachstelle aus, die, wenn sie im Browser dargestellt wird, zur Ausnutzung einer Nutzung nach einem Fehler im freien Speicher (verfolgt als CVE-2019-8605) führt, die es einem Angreifer erlaubt, beliebigen Code mit Root-Rechten auszuführen - in diesem Fall installieren Sie die proprietäre LightSpy-Hintertür. Der Fehler wurde inzwischen mit der Veröffentlichung von iOS 12.3, macOS Mojave 10.14.5, tvOS 12.3 und watchOS 5.2.1 behoben.

Die Spyware ist nicht nur in der Lage, Shell-Befehle aus der Ferne auszuführen und die volle Kontrolle über das Gerät zu übernehmen. Sie enthält auch eine Vielzahl herunterladbarer Module, die eine Datenexfiltration ermöglichen, wie z.B. Kontaktlisten, GPS-Ortung, Wi-Fi-Verbindungsverlauf, Hardware-Daten, iOS-Schlüsselanhänger, Telefongesprächsaufzeichnungen, den Verlauf von mobilen Safari- und Chrome-Browsern und SMS-Nachrichten.

Darüber hinaus zielt LightSpy auf Messaging-Anwendungen wie Telegram, QQ und WeChat ab, um Kontoinformationen, Kontakte, Gruppen, Nachrichten und angehängte Dateien zu stehlen.

Eine auf Südostasien ausgerichtete Überwachungsoperation

Es wird vermutet, dass die TwoSail-Junk-Bande mit den Betreibern von "dmsSpy", einer Android-Variante derselben Malware, die im vergangenen Jahr über offene Telegrammkanäle unter anderem unter dem Deckmantel von Apps des Hongkong-Protestkalenders verbreitet wurde, in Verbindung steht oder möglicherweise mit ihnen identisch ist.

"Die Download- und Command-and-Control-Server von "dmsSpy" benutzten den gleichen Domainnamen (hkrevolution[.]club) wie eine der Tränke, die von der iOS-Komponente von Poisoned News genutzt wird", beobachteten die Forscher.

Nach der Installation sammelten diese abtrünnigen Android-Apps Kontakte, Textnachrichten, den Standort des Benutzers und die Namen der gespeicherten Dateien und filterten sie heraus.

"Dieser spezielle Rahmen und diese Infrastruktur sind ein interessantes Beispiel für einen agilen Ansatz zur Entwicklung und zum Einsatz eines Überwachungsrahmens in Südostasien", schlossen die Kaspersky-Forscher.

Trend Micro schlug seinerseits vor, dass das Design und die Funktionalität der Kampagne darauf abzielen, möglichst viele mobile Geräte zu kompromittieren, um eine Rückentwicklung und Überwachung der Geräte zu ermöglichen.

Um solche Bedrohungen abzuschwächen, ist es unerlässlich, dass die Benutzer ihre Geräte auf dem neuesten Stand halten.