Как кибершпионы собирали данные с iOS
Это вредоносное ПО предоставляет злоумышленникам возможности скрытого наблюдения и работает исключительно в памяти устройства, поэтому все следы его работы удаляются при перезагрузке устройства.
Эксперты выяснили, что имплант TriangleDB внедряется после успешной эксплуатации уязвимости ядра для получения привилегий суперпользователя на целевом устройстве iOS. После развёртывания он работает исключительно в памяти устройства, поэтому следы заражения исчезают после перезагрузки устройства. Если жертва перезагружает устройство, злоумышленнику необходимо повторно заразить его, отправив заново iMessage с вредоносным вложением. Таким образом весь процесс эксплуатации запускается заново. Если перезагрузка не произойдёт, имплант автоматически удалится через 30 дней, если злоумышленники не продлят этот срок. TriangleDB — это сложное шпионское ПО, которое содержит широкий спектр функций по сбору данных и мониторингу.
Всего этот зловред может выполнять 24 команды. Они позволяют злоумышленникам запускать разные процессы, в том числе взаимодействовать с файловой системой устройства (включая создание, изменение, кражу и удаление файлов), управлять процессами (получение списка и их завершение), извлекать элементы связки ключей для сбора учётных данных и вести мониторинг геолокации жертвы.
Анализируя TriangleDB, эксперты «Лаборатории Касперского» обнаружили, что класс CRConfig содержит неиспользуемый метод populateWithFieldsMacOSOnly. Это косвенно указывает на то, что аналогичный имплант может использоваться в атаках на устройства на macOS.
«Анализируя эту атаку, мы обнаружили сложный имплант для iOS, у которого много примечательных особенностей. Мы продолжаем своё исследование и будем держать в курсе наших новых находок об этой сложной атаке. Мы призываем сообщество специалистов по кибербезопасности объединиться для обмена знаниями и сотрудничества, чтобы получить более чёткую картину существующих угроз», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».