Skip to main content
iOSiOS 16iPhone

Вредоносная атака iOS обнаружена через iMessage, но ее можно обнаружить

Устройства iOS были специально атакованы вредоносными программами

Антивирусный провайдер Kaspersky обнаружил кампанию вредоносного ПО, явно направленную на заражение iPhone с iOS до 15.7 через iMessage, но ее можно найти и предотвратить.

Команда «Лаборатории Касперского» выявила потенциально подозрительное поведение нескольких устройств iOS. Однако из-за ограничений безопасности, ограничивающих прямой внутренний осмотр устройств iOS, компании пришлось создавать автономные резервные копии.

Затем эти резервные копии были подвергнуты анализу с использованием mvt-ios (Mobile Verification Toolkit для iOS), в результате чего были выявлены индикаторы, указывающие на компрометацию. Атака происходит, когда целевое устройство iOS получает сообщение через платформу iMessage.

Сообщение включает вложение, содержащее эксплойт. Этот эксплойт, явно созданный как механизм нулевого клика, запускает уязвимость в системе, позволяя выполнять вредоносный код без какого-либо вмешательства пользователя.

После этого эксплойт инициирует получение дополнительных фаз с сервера управления и контроля (C&C). Эти этапы включают дополнительные эксплойты, специально разработанные для повышения привилегий.

Как только процесс эксплуатации оказывается успешным, комплексная платформа APT (Advanced Persistent Threat) загружается с сервера C&C, устанавливая абсолютный контроль над устройством и данными пользователя. Атака уничтожает исходное сообщение и использует вложение, чтобы сохранить его скрытую природу.

Интересно, что вредоносный инструментарий не является постоянным, что указывает на то, что ограничения среды iOS могут быть сдерживающим фактором. Однако устройства могут быть повторно заражены после перезагрузки другой атакой.

Кроме того, «Лаборатория Касперского» указала, что по состоянию на июнь 2023 года атака эффективно затронула устройства с iOS версии до 15.7. Тем не менее остается неясным, использует ли кампания уязвимость нулевого дня, только что обнаруженную в более старых версиях iOS.

Полный масштаб и масштабы вектора атаки все еще расследуются.

Как защитить себя

Команда «Лаборатории Касперского» проводит постоянное расследование конечной полезной нагрузки вредоносного ПО, которое работает с привилегиями root. Это вредоносное ПО может собирать как системные, так и пользовательские данные, а также выполнять произвольный код, загружаемый в виде подключаемых модулей с C&C-сервера.

Тем не менее, они говорят, что можно надежно определить, было ли устройство скомпрометировано. Более того, когда новое устройство настраивается путем переноса пользовательских данных с предыдущего устройства, резервная копия этого устройства в iTunes сохранит следы компрометации, произошедшей на обоих устройствах, с точными временными метками.

Сообщение в блоге Kaspersky содержит исчерпывающие рекомендации по определению того, заражено ли ваше устройство iOS вредоносным ПО. Этот процесс включает в себя использование приложения командной строки терминала для установки программного обеспечения и проверки определенных файлов на наличие признаков наличия вредоносных программ.

Создайте резервную копию с помощью idevicebackup2 с помощью команды «idevicebackup2 backup — full $backup_directory». Затем установите MVT с помощью команды «pip install mvt». После этого пользователи могут проверить резервную копию с помощью команды «mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory». Наконец, проверьте файл timeline.csv на наличие индикаторов со строками использования данных, в которых упоминается процесс с именем «BackupAgent».

Этот конкретный двоичный файл считается устаревшим и обычно не должен присутствовать на временной шкале использования устройства при обычной работе.

Важно отметить, что эти шаги требуют определенного уровня технических знаний и должны выполняться только опытными пользователями. Обновление до iOS 16 — лучший и самый простой способ защитить себя.