In januari van dit jaar detecteerden experts een grootschalige watering-hole-aanval die was gericht op inwoners van Hong Kong, waarbij de multifunctionele malware LightSpy voor iOS op de smartphones van slachtoffers werd geïnstalleerd. Dit is opnieuw een waarschuwing voor iedereen die denkt dat Apple-apparaten, en iPhones in het bijzonder, immuun zijn voor malware; ze zijn natuurlijk beschermd, maar zeker niet 100% veilig.
Hoe LightSpy iOS-apparaten infecteert
De malware kwam op de smartphones van slachtoffers terecht toen ze een van de vele websites bezochten die vermomd zijn als plaatselijke nieuwssites. De aanvallers kopieerden de code van echte nieuwssites en creëerden zo hun eigen imitaties.
De sites laadden een hele reeks exploits op de smartphones van de slachtoffers, wat resulteerde in de installatie van LightSpy. De links naar de nepsites werden verspreid via forums die populair zijn onder de inwoners van Hong Kong. Het enige wat nodig was om een iPhone te infecteren was één bezoek aan een schadelijke pagina; er hoefde niet eens ergens op geklikt te worden.
Wat is LightSpy?
LightSpy-malware is een modulair achterdeurtje waardoor een aanvaller op afstand commando’s kan uitvoeren op het geïnfecteerde apparaat en zo de telefoon van het slachtoffer op hol kan laten slaan.
Een aanvaller kan bijvoorbeeld de locatie van de smartphone bepalen, de contactenlijst en belgeschiedenis achterhalen, kijken met welke wifi-netwerken het slachtoffer verbonden is geweest, het lokale netwerk scannen en gegevens over alle gedetecteerde IP-adressen naar de command-and-control-server (C&C) uploaden. Daarnaast heeft het achterdeurtje modules voor het stelen van informatie van Keychain (het wachtwoordbeheersysteem iOS), evenals gegevens van de berichten-apps WeChat, QQ en Telegram.
Het interessante is dat de aanvallers geen zero-day-kwetsbaarheden gebruikten, maar zogenaamde first-day-kwetsbaarheden. Dat zijn nieuw ontdekte gaten waar patches voor zijn uitgegeven die alleen in de nieuwste systeemupdates zaten. Daardoor kunnen iOS-gebruikers die hun apparaten op tijd hebben geüpdatet niet worden geïnfecteerd, maar er zijn natuurlijk een hoop mensen die deze updates niet hebben geïnstalleerd. De aanval vormde een dreiging voor eigenaars van de smartphones die op iOS 12.1 en 12.2 draaiden (het probleem trof verschillende modellen, van de iPhone 6s tot de iPhone X).
Hoe beschermt u zich tegen LightSpy
Het is nog onduidelijk of LightSpy zich ook buiten China zal verspreiden, maar zulke toolkits hebben de gewoonte om een breder publiek te bereiken, dus ga er niet zomaar vanuit dat dit probleem u niet kan raken. Neem de volgende voorzorgsmaatregelen voor betere beveiliging:
- Installeer de laatste versie van het besturingssysteem. Als u dat liever niet doet vanwege problemen met iOS 13, vrees dan niet: in de huidige versie (13.4) zijn de wifi-bugs en andere problemen opgelost.
- Wees erg voorzichtig met het volgen van links, zeker als die door vreemden zijn verstuurd. Zelfs als het op het eerste gezicht een bekende website lijkt, kan het zorgvuldig controleren van het adres nooit kwaad.