iOS 設備已成為惡意軟件的專門目標
防病毒提供商卡巴斯基發現了一項惡意軟件活動,明確旨在通過 iMessage 感染運行至 iOS 15.7 的 iPhone——但它可以被發現並被阻止。
卡巴斯基的團隊識別來自多台 iOS 設備的潛在可疑行為。但是,由於限制直接對 iOS 設備進行內部檢查的安全限制,該公司不得不生成離線備份。
然後使用 mvt-ios(適用於 iOS 的移動驗證工具包),導致識別指示妥協的指標。當目標 iOS 設備通過 iMessage 平台接收消息時,就會發生攻擊。
郵件中包含一個帶有漏洞的附件。此漏洞利用明確設計為零點擊機制,可觸發系統內的漏洞,從而無需任何用戶交互即可執行惡意代碼。
之後,該漏洞會啟動從命令和控制 (C&C) 服務器檢索其他階段。這些階段包括更多專為提升特權而設計的漏洞利用。
一旦漏洞利用過程證明成功,就會從 C&C 服務器下載一個全面的 APT(高級持續威脅)平台,建立對設備和用戶數據的絕對控制。攻擊消除了初始消息並利用附件來保持其隱蔽性。
有趣的是,惡意工具包不是持久性的,表明 iOS 環境的限制可能是一個制約因素。但是,設備可能會在重新啟動時被另一次攻擊重新感染。
此外,卡巴斯基表示,截至 2023 年 6 月,該攻擊已有效影響運行最高 15.7 iOS 版本的設備。然而,該活動是否利用了剛剛在舊版本 iOS 中發現的零日漏洞仍不確定.
攻擊向量的完整範圍和強度仍在調查中。
如何保護自己
卡巴斯基的團隊正在對惡意軟件的最終有效負載進行持續調查,該惡意軟件以根權限運行。該惡意軟件具有收集系統和用戶數據的能力,以及執行從 C&C 服務器作為插件模塊下載的任意代碼的能力。
但是,他們表示可以可靠地確定設備是否已遭到破壞。此外,當通過從以前的設備遷移用戶數據來設置新設備時,該設備的 iTunes 備份將保留兩台設備上發生的妥協痕跡,並附有準確的時間戳。
卡巴斯基的博客文章提供了有關確定您的 iOS 設備是否感染了惡意軟件的綜合指南。該過程需要利用終端命令行應用程序安裝軟件並檢查特定文件是否存在惡意軟件跡象。
使用命令“idevicebackup2 backup — full $backup_directory”使用 idevicebackup2 創建備份。接下來,使用命令“pip install mvt”安裝 MVT。之後,用戶可以使用命令“mvt-ios check-backup-o $mvt_output_directory $decrypted_backup_directory”檢查備份。最後,檢查 timeline.csv 文件中的指標,其中包含提及名為“BackupAgent”的進程的數據使用行。
此特定二進製文件被視為已棄用,在正常操作期間通常不應出現在設備的使用時間表中。
請務必注意,這些步驟需要一定水平的技術專業知識,並且只能由知識淵博的用戶嘗試。更新至 iOS 16 是保護自己的最佳且最簡單的方法。
