【样本分享】ThreatFabric揭示LightSpy间谍软件的危险升级 – 28个针对iOS设备的插件

概要：

ThreatFabric发布了一份报告，详细介绍了LightSpy间谍软件的最新进展。这款首次在2020年被发现的iOS间谍软件，现已发展成为一个更复杂且具有破坏性的工具。最新版本7.9.0的LightSpy增加了28个插件，其中七个具有破坏能力，进一步加大了对iOS用户的威胁。

主要内容：

LightSpy的升级突显了其对特定漏洞的针对性，尤其是利用公共漏洞进行攻击，包括CVE-2020-9802和CVE-2020-3837。这使得该间谍软件能够访问运行iOS 13.3及以下版本的设备。与之前版本相比，最新更新扩大了支持的设备范围，从iPhone 6到iPhone X，采用了复杂的WebKit漏洞。

新增的插件不仅可以冻结设备，还能阻止设备启动，显示出其日益增强的破坏能力。ThreatFabric的分析指出，LightSpy的感染链与其macOS版本相似，利用相同的WebKit漏洞。该间谍软件的核心与多个C2服务器保持持续通信，报告显示主要位于亚洲的五个活跃C2服务器帮助将恶意软件部署到iOS设备上。

此外，ThreatFabric发现了一些JSON文件，显示部署日期，其中一些样本标记为“DEMO”，这表明LightSpy可能被用于演示而非广泛传播。ThreatFabric指出，iOS和macOS版本之间的代码相似性暗示它们可能由同一开发团队创建。LightSpy的演变提醒我们，iOS漏洞所带来的风险正在增加。