这是一个旨在通过名为lightSpy的iOS后门感染香港用户的活动,该后门允许攻击者接管设备。2月19日,安全研究人员发现了针对iOS用户的水坑攻击。它的URL指向一个恶意网站,该网站具有三个指向不同站点的iframe。其中一个iframe是可见的并指向一个合法的新闻网站,另一个iframe用于网络分析,第三个iframe指向一个托管iOS漏洞利用主要脚本的网站。带有三个iframe的恶意网站的HTML代码攻击者通过在香港热门论坛上发布诱饵式标题来传播恶意链接,将用户引导至真实的新闻网站,但这些网站由于注入了iframe而被隐藏,当用户访问时,加载并运行恶意软件。此外,还发现了第二种类型的水坑攻击:复制合法站点并将其注入iframe。攻击似乎从1月2日开始,一直持续到3月20日。但是,目前无法确定这些站点的链接分布在何处。这些攻击利用影响iOS12.1和12.2设备的安全漏洞来针对整个站点的用户。通过支持shell命令和文件操作,该恶意软件允许攻击者监视用户并完全控制受感染的设备。lightSpy本质上是模块化的,允许过滤连接的WiFi历史记录、联系人、GPS位置、硬件消息、iOS钥匙串、电话历史记录、Safari和Chrome浏览器历史记录、SMS消息和本地网络IP地址。此外,该恶意软件专门针对Telegram、QQ和微信等通讯应用程序。2019年,Android用户也发生过类似的攻击,并通过与香港相关的公共Telegram频道发布了恶意APK。名为dmsSpy的Android恶意软件会泄露设备信息、联系人和SMS消息。这些活动的设计和功能表明,该活动并非针对受害者,而是旨在更多地利用移动设备进行后门和监视。该活动因其分发方式而被命名为“中毒新闻行动”。参考:OperationPoisonedNews:香港用户通过本地新闻链接成为移动恶意软件的目标
