网络安全研究人员近期发现，专门针对 Apple iOS 系统的间谍软件 LightSpy 迎来了一个功能增强的新版。除了功能扩展外，新版本还具备破坏性功能，能够阻止被感染的设备启动。

ThreatFabric 本周发布的一份分析报告指出，新版 LightSpy iOS 植入程序在传播方式上与其 macOS 版本相似，但因平台差异，后期的权限提升和利用方式有显著不同。

LightSpy 首次曝光于 2020 年，当时主要针对香港用户。这种模块化的间谍软件采用插件架构，能从被感染的设备中窃取多种敏感信息。其攻击链利用 Apple iOS 和 macOS 的已知安全漏洞，通过 WebKit 漏洞释放一个伪装为“.PNG”格式的文件，但该文件实为 Mach-O 二进制文件，负责通过滥用编号为 CVE-2020-3837 的内存漏洞，从远程服务器下载后续的恶意程序。

一个名为 FrameworkLoader 的组件会下载 LightSpy 的核心模块及插件。在最新版本（7.9.0）中，插件数量由原来的 12 个猛增至 28 个。

荷兰安全公司 ThreatFabric 表示：“Core 启动后会通过 Baidu.com 域名测试网络连接，并检索 FrameworkLoader 提供的参数用于命令和控制 (C2) 数据及工作目录。”

核心模块会在路径 /var/containers/Bundle/AppleAppLit/ 下创建文件夹，用于存储日志、数据库和被窃取的数据。这些插件能够捕获广泛的数据类型，包括 Wi-Fi 网络信息、屏幕截图、地理位置、iCloud 钥匙串内容、录音、照片、浏览记录、联系人、通话记录、短信，以及文件、LINE、邮件大师、Telegram、腾讯 QQ、微信和 WhatsApp 等应用的数据。

新版本的插件还具备破坏性功能，能删除媒体文件、短信、Wi-Fi 配置文件、联系人及浏览记录，甚至可以冻结设备，阻止其重新启动。此外，LightSpy 还能发送包含特定 URL 的虚假推送通知。

目前尚不清楚 LightSpy 的传播媒介，但其传播手段被推测为“水坑攻击”。

ThreatFabric 强调：“LightSpy 案例突显了保持系统更新的重要性。该间谍软件的开发者密切关注安全研究的最新进展，并频繁利用新披露的漏洞，提升被感染设备的权限。”