Диджитал За пользователями массово следят через их смартфоны: кто оказался в зоне риска
Шпионское ПО Predator обходит индикаторы камеры и микрофона iOS, перехватывая системные процессы, что позволяет осуществлять скрытое наблюдение, несмотря на стандартные средства защиты конфиденциальности.
В iOS 14 Apple есть цветные индикаторы в строке состояния, которые предупреждают пользователей об активности камеры или микрофона, но эксперты предупреждают, что это не останавливает хакеров, пишет techradar.com.
Шпионское ПО, разработанное Intellexa и Cytrox, получившее название Predator, может работать на скомпрометированных устройствах iOS, не отображая никаких индикаторов камеры или микрофона. Программа обходит индикатор, перехватывая обновления активности датчиков до того, как они отобразятся в системном интерфейсе, тем самым скрывая от пользователей информацию о текущем наблюдении.
Как Predator обходит индикатор конфиденциальности iOS
Вредоносное ПО не использует новую уязвимость, ему требуется ранее полученный доступ на уровне ядра для перехвата системных процессов.
Исследование Jamf Threat Labs показало, как шпионское ПО обходит индикатор iOS, перехватывая процесс SpringBoard, в частности, метод _handleNewDomainData: внутри класса SBSensorActivityDataProvider. Этот единственный перехват обнуляет объект, отвечающий за передачу обновлений датчиков в пользовательский интерфейс, предотвращая появление зеленых или оранжевых точек, когда камера или микрофон используются.
Предыдущие методы, включая прямые перехваты SBRecordingIndicatorManager, были заменены этим более эффективным и менее заметным перехватом.
Predator содержит несколько модулей, которые обрабатывают различные аспекты наблюдения, такие как модуль HiddenDot и модуль CameraEnabler.
В то время как первый подавляет визуальные индикаторы, второй обходит проверки разрешений камеры, используя сопоставление шаблонов инструкций ARM64 и перенаправление кода аутентификации указателя (PAC). Это позволяет вредоносной программе обнаруживать внутренние функции, которые не являются общедоступными, и перенаправлять их выполнение без срабатывания стандартных оповещений безопасности iOS.
Шпионское ПО также перехватывает VoIP-аудио через отдельный модуль. В отличие от HiddenDot, модуль записи VoIP не подавляет напрямую индикаторы микрофона, а использует методы скрытности, чтобы оставаться незамеченным. Эти модули могут записывать аудиоданные по необычным путям и манипулировать системными процессами, что затрудняет стандартные методы обнаружения.
Конструкция Predator усложняет обнаружение, поскольку он внедряет код в критически важные системные процессы, такие как SpringBoard и mediaserverd. Он использует перехватчики исключений Mach, а не обычные встроенные перехватчики, что делает типичное программное обеспечение для защиты конечных точек и брандмауэры недостаточными для обнаружения вредоносной активности.
Ключевыми признаками, за которыми должны следить специалисты по защите, являются поведенческие индикаторы, такие как неожиданное создание аудиофайлов или обновления активности датчиков, которые не вызывают уведомлений пользовательского интерфейса.
Наблюдение за отображением памяти, портами исключений и изменениями состояния потоков в системных процессах также может выявить признаки компрометации.
Predator демонстрирует, как коммерческое шпионское ПО может использовать инструменты искусственного интеллекта и доступ на системном уровне для осуществления сложной слежки за устройствами iOS.
Пользователям и группам безопасности следует понимать методы обеспечения постоянного присутствия, используемые Predator, и отслеживать устройства на предмет едва заметных аномалий в активности датчиков.
Ранее мы писали о том, что популярные модели смартфонов вышли из строя из-за нового патча. Владельцы смартфонов Samsung Galaxy S22 пожаловались, что последнее обновление безопасности привело к блокировке их устройств. Проблема, похоже, касается всех моделей линейки, начиная от базового S22 до S22 Ultra.
