Eliška Červinková 
Zařízení iOS byla konkrétně zaměřena na malware
Poskytovatel antivirového programu Kaspersky objevil malwarovou kampaň, která je výslovně zaměřena na infikování iPhonů s operačním systémem iOS 15.7 prostřednictvím iMessage – lze ji však najít a zabránit jí.
Tým společnosti Kaspersky identifikoval potenciálně podezřelé chování vycházející z více zařízení iOS. Kvůli bezpečnostním omezením, která omezují přímé interní zkoumání iOS zařízení, však společnost musela generovat offline zálohy.
Tyto zálohy byly poté podrobeny analýze pomocí mvt-ios (Mobile Verification Toolkit pro iOS), což vedlo k identifikaci indikátorů naznačujících kompromis. K útoku dochází, když cílové zařízení iOS obdrží zprávu prostřednictvím platformy iMessage.
Zpráva obsahuje přílohu, která nese exploit. Tento exploit, vytvořený výslovně jako mechanismus nulového kliknutí, spouští zranitelnost v systému a umožňuje spuštění škodlivého kódu bez nutnosti jakékoli interakce uživatele.
Poté exploit zahájí načítání dalších fází ze serveru Command and Control (C&C). Tyto fáze zahrnují více exploitů speciálně navržených pro zvýšení oprávnění.
Jakmile se proces využití osvědčí, stáhne se ze serveru C&C komplexní platforma APT (Advanced Persistent Threat), která zajistí absolutní kontrolu nad zařízením a daty uživatele. Útok vymýtí původní zprávu a zneužít přílohu, aby byla zachována její skrytá povaha.
Zajímavé je, že sada škodlivých nástrojů není trvalá, což naznačuje, že omezení prostředí iOS mohou být omezujícím faktorem. Zařízení však mohla být znovu infikována po restartu jiným útokem.
Společnost Kaspersky dále uvedla, že útok účinně zasáhl zařízení s verzemi iOS až do 15.7 od června 2023. Zůstává však nejisté, zda kampaň zneužívá zranitelnost zero-day, která byla právě objevena ve starších verzích iOS.
Celý rozsah a velikost vektoru útoku jsou stále předmětem vyšetřování.
Jak se chránit
Tým společnosti Kaspersky provádí průběžné vyšetřování konečného užitečného zatížení malwaru, který pracuje s právy root. Tento škodlivý software má schopnost shromažďovat jak systémová, tak uživatelská data, stejně jako spouštět libovolný kód, který je stažen jako zásuvné moduly ze serveru C&C.
Tvrdí však, že je možné spolehlivě identifikovat, zda bylo zařízení kompromitováno. Navíc, když je nové zařízení nastaveno migrací uživatelských dat z předchozího zařízení, záloha iTunes tohoto zařízení uchová stopy kompromitace, ke které došlo na obou zařízeních, včetně přesných časových razítek.
Blogový příspěvek společnosti Kaspersky poskytuje komplexní pokyny k určení, zda je vaše zařízení iOS infikováno malwarem. Tento proces zahrnuje použití aplikace příkazového řádku terminálu k instalaci softwaru a kontrolu konkrétních souborů na známky přítomnosti malwaru.
- Vytvořte zálohu pomocí idevicebackup2 pomocí příkazu „záloha idevicebackup2 — plný adresář $backup_directory.“
- Dále nainstalujte MVT pomocí příkazu „pip install mvt.“
- Poté mohou uživatelé zkontrolovat zálohu pomocí příkazu „mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory.“
- Nakonec zkontrolujte v souboru timeline.csv indikátory s řádky využití dat, které zmiňují proces s názvem „BackupAgent.“
Tento konkrétní binární soubor je považován za zastaralý a normálně by neměl být přítomen v časové ose používání zařízení během běžného provozu.
Je důležité si uvědomit, že tyto kroky vyžadují určitou úroveň technické odbornosti a měli by je provádět pouze zkušení uživatelé. Aktualizace na iOS 16 je nejlepší – a nejjednodušší – způsob, jak se chránit.
Zdroj: appleinsider.com
