Антивирусная компания Kaspersky обнаружила вредоносное ПО, направленное на заражение iPhone, работающих под iOS 15.7, через iMessage. Хорошая новость, что ее можно найти и предотвратить. Команда Касперского обнаружила потенциально подозрительное поведение, исходящее от нескольких iOS-устройств. Однако из-за ограничений безопасности, ограничивающих прямое внутреннее изучение iOS-устройств, компании пришлось создавать резервные копии в автономном режиме. Эти резервные копии были подвергнуты анализу с помощью mvt-ios (Mobile Verification Toolkit for iOS), в результате чего были выявлены индикаторы, указывающие на компрометацию. Атака происходит, когда устройство iOS, на которое направлена атака, получает сообщение через iMessage.
Сообщение включает в себя вложение, содержащее эксплойт. Этот эксплойт, созданный явно как механизм «нулевого клика», запускает уязвимость в системе, позволяя выполнить вредоносный код без вмешательства пользователя.
После этого эксплойт инициирует получение дополнительных данных с внешнего сервера. Эти фазы включают больше эксплойтов, специально разработанных для повышения привилегий.
После успешного завершения процесса загрузки загружается комплексная платформа APT (Advanced Persistent Threat), устанавливающая абсолютный контроль над устройством и данными пользователя. Атака удаляет первоначальное сообщение и вложение эксплойта, чтобы сохранить ее скрытый характер.
Интересно, что вредоносный инструментарий не сохраняется, что говорит о том, что ограничения среды iOS могут быть сдерживающим фактором. Однако устройства могут быть повторно заражены при перезагрузке в результате другой атаки.
Кроме того, Касперский сообщил, что атака эффективно воздействовала на устройства с iOS версий до 15.7 по состоянию на июнь 2023 года. Тем не менее, остается неясным, использует ли кампания уязвимость нулевого дня, только что обнаруженную в старых версиях iOS.
Полный масштаб и величина вектора атаки все еще расследуются.
Как защитить себя?
Команда Касперского проводит расследование. Эта вредоносная программа способна собирать системные и пользовательские данные, а также выполнять произвольный код, загружаемый в виде подключаемых модулей с внешнего сервера.
Несмотря на это, по их словам, можно достоверно определить, было ли устройство взломано. Более того, при настройке нового устройства путем переноса пользовательских данных с предыдущего устройства, резервная копия iTunes сохранит следы компрометации, произошедшей на обоих устройствах, с точными временными метками.
В сообщении в блоге Касперского содержится исчерпывающее руководство по определению того, заражено ли ваше устройство iOS вредоносной программой. Процесс включает в себя использование приложения командной строки Terminal для установки программного обеспечения и проверку определенных файлов на наличие признаков присутствия вредоносного ПО.
Комментарии (0)