iOS-apparaten zijn specifiek het doelwit van malware
Antivirusprovider Kaspersky heeft een malwarecampagne ontdekt die expliciet gericht is op het infecteren van iPhones met iOS 15.7 via iMessage-maar deze kan worden gevonden en voorkomen.
Het team van Kaspersky identificeerd mogelijk verdacht gedrag afkomstig van meerdere iOS-apparaten. Vanwege de beveiligingsbeperkingen die direct intern onderzoek van iOS-apparaten beperken, moest het bedrijf echter offline back-ups maken.
Deze back-ups werden vervolgens onderworpen aan analyse met behulp van de mvt-ios (Mobile Verification Toolkit voor iOS), resulterend in de identificatie van indicatoren die wijzen op een compromis. De aanval vindt plaats wanneer het beoogde iOS-apparaat een bericht ontvangt via het iMessage-platform.
Het bericht bevat een bijlage met een exploit. Deze exploit, die expliciet is gemaakt als een zero-click-mechanisme, activeert een kwetsbaarheid in het systeem, waardoor schadelijke code kan worden uitgevoerd zonder enige tussenkomst van de gebruiker.
Daarna initieert de exploit het ophalen van aanvullende fasen van de Command and Control (C&C)-server. Deze fasen omvatten meer exploits die specifiek zijn bedacht om privileges te verhogen.
Zodra het exploitatieproces succesvol blijkt te zijn, wordt een uitgebreid APT-platform (Advanced Persistent Threat) gedownload van de C&C-server, waardoor absolute controle over het apparaat en de gegevens van de gebruiker wordt verkregen. De aanval vernietigt het oorspronkelijke bericht en de exploit-bijlage om het geheime karakter ervan te behouden.
Interessant is dat de kwaadaardige toolkit niet persistent is, wat aangeeft dat de beperkingen van de iOS-omgeving een beperkende factor kunnen zijn. De apparaten kunnen echter opnieuw worden geïnfecteerd bij het opnieuw opstarten door een nieuwe aanval.
Bovendien gaf Kaspersky aan dat de aanval effectief invloed heeft gehad op apparaten met iOS-versies tot 15.7 vanaf juni 2023. Desalniettemin blijft het onzeker of de campagne misbruik maakt van een zero-day-kwetsbaarheid die zojuist is ontdekt in oudere versies van iOS.
De volledige omvang en omvang van de aanvalsvector wordt nog onderzocht.
Hoe u uzelf kunt beschermen
Het team van Kaspersky voert een lopend onderzoek uit naar de uiteindelijke payload van de malware, die werkt met rootprivileges. Deze schadelijke software heeft de mogelijkheid om zowel systeem-als gebruikersgegevens te verzamelen en willekeurige code uit te voeren die als plug-inmodules van de C&C-server wordt gedownload.
Ze zeggen echter dat het mogelijk is om vast te stellen of een apparaat betrouwbaar is gecompromitteerd. Bovendien, wanneer een nieuw apparaat wordt ingesteld door gebruikersgegevens van een vorig apparaat te migreren, behoudt de iTunes-back-up van dat apparaat sporen van een compromis dat op beide apparaten is opgetreden, compleet met nauwkeurige tijdstempels.
De blogpost van Kaspersky biedt uitgebreide richtlijnen om te bepalen of uw iOS-apparaat is geïnfecteerd met de malware. Het proces omvat het gebruik van de Terminal-opdrachtregeltoepassing om software te installeren en specifieke bestanden te inspecteren op tekenen van aanwezigheid van malware.
Maak een back-up met idevicebackup2 met het commando”idevicebackup2 backup — full $backup_directory.”Installeer vervolgens MVT met het commando”pip install mvt.”Daarna kunnen gebruikers de back-up inspecteren met het commando”mvt-ios check-backup-o $mvt_output_directory $decrypted_backup_directory.”Controleer ten slotte het bestand timeline.csv op indicatoren met gegevensgebruiksregels die het proces met de naam”BackupAgent“vermelden.
Dit specifieke binaire bestand wordt als verouderd beschouwd en zou normaal gesproken niet aanwezig moeten zijn in de gebruikstijdlijn van het apparaat tijdens normaal gebruik.
Het is belangrijk op te merken dat deze stappen een bepaald niveau van technische expertise vereisen en alleen mogen worden uitgevoerd door goed geïnformeerde gebruikers. Updaten naar iOS 16 is de beste en makkelijkste manier om jezelf te beschermen.
