De makers van de LightSpy-malware voor iOS hebben in een recente versie opties toegevoegd waardoor het mogelijk is om de werking van een besmette iPhone te saboteren. De toegevoegde plug-ins maken het mogelijk om de telefoon te laten vastlopen, allerlei gegevens en contacten te wissen of zelfs ervoor te zorgen dat het toestel helemaal niet meer kan opstarten. Dat laat securitybedrijf ThreatFabric in een analyse weten.

LightSpy is spyware die aanvallers controle over de iPhone geeft en verschillende modules bevat voor het stelen van data, waaronder gebruikte wifi-netwerken, contacten, gps-locatie, hardwaregegevens, iOS-keychain, telefoongeschiedenis, Safari- en Chrome-geschiedenis, sms-berichten en data van de chatapps Telegram, QQ, WeChat en WhatsApp. De eerste versies van deze spyware werden in 2020 ontdekt.

De eerste versies maakten gebruik van kwetsbaarheden in iOS en WebKit, de engine waar Safari en andere browsers op iOS gebruik van maken, om gebruikers onopgemerkt te infecteren. Op het moment van de aanvallen waren voor de gebruikte kwetsbaarheden al updates beschikbaar. ThreatFabric ontdekte een nieuwere versie van LightSpy die iPhones tot en met iOS 13.3 kan infecteren.

Hiervoor wordt gebruikgemaakt van een kwetsbaarheid in Safari (CVE-2020-9802) die remote code execution mogelijk maakt, alsmede een iOS-kwetsbaarheid (CVE-2020-3837) waardoor een aanvaller die al toegang tot de telefoon heeft zijn rechten kan verhogen. Apple kwam in januari en mei 2020 met updates voor deze kwetsbaarheden. ThreatFabric ontdekte een server met informatie over uitgevoerde aanvalscampagnes, waaruit zou blijken dat iPhones tot en met 26 oktober 2022 via de twee genoemde kwetsbaarheden zijn geïnfecteerd.

Zodra de aanvallers via de beveiligingslekken toegang tot een iPhone hebben voeren ze een 'rootless jailbreak' uit, gevolgd door de installatie van de LightSpy-malware. Bij een rootless jailbreak is het mogelijk om de telefoon zonder rootrechten te jailbreaken. Een beperking is dat gebruikers geen toegang tot de OS/root volume hebben en geen systeembestanden kunnen aanpassen.

De nieuwere LightSpy-versie die de onderzoekers ontdekten bleek ook over een aantal nieuwe plug-ins te beschikken, die vooral gericht zijn op het saboteren van de telefoon. Zo zijn er twee plug-ins die de telefoon kunnen laten vastlopen, alsmede een plug-in die ervoor zorgt dat de iPhone niet meer kan opstarten. Tevens kan de spyware via verschillende andere plug-ins contacten uit het adresboek verwijderen, alsmede sms-berichten, wifi-gegevens, mediabestanden en de gehele browsegeschiedenis.

De onderzoekers merken op dat de aanvallers een rootless jailbreak voor LightSpy gebruiken, die een reboot niet overleeft. IPhone-bezitters wordt dan ook aangeraden geregeld hun telefoon te herstarten. Daarnaast wordt geadviseerd om updates tijdig te installeren. De LightSpy-malware zou het vooral op gebruikers in de regio China hebben voorzien. De onderzoekers merken op dat gebruikers in deze regio vanwege beperkingen niet altijd updates kunnen ontvangen.