Исследователи Google Project Zero обнаружили масштабную кампанию против iOS-пользователей: с 2017 года неизвестные преступники использовали серию уязвимостей в системах iOS 10 по iOS 12, чтобы заражать посетителей сайтов шпионским ПО.

Злоумышленники применяли технику водопоя (watering hole), встроив свое ПО в легитимные веб-ресурсы с посещаемостью в несколько тысяч человек в неделю. Администраторы этих площадок непричастны к атакам — эксперты утверждают, что вредоносные модули попали в код без их ведома.

Механизм атаки на пользователей iOS

Вредоносные эксплойты не требовали каких-либо действий от жертв — для заражения достаточно было зайти на зараженную страницу с iOS-устройства. Специалисты указывают, что это кардинально отличает данную кампанию от прежних атак на iOS, которые разрабатывались под конкретную жертву и зачастую имели политическую подоплеку.

Взломщики получали полный доступ к пораженному устройству с root-привилегиями, включая возможность читать любые данные и устанавливать любые приложения. В данном случае преступники разворачивали шпионский имплантат, способный копировать пользовательские файлы и отслеживать геолокацию.

Зловред также получал доступ к приложению Keychain, где хранятся пользовательские защищенные пароли. Это позволяло ему читать зашифрованные сообщения в iMessage, WhatsApp и других мессенджерах. Эксперты полагают, что взломщиков также могли интересовать токены аутентификации.

Основной недостаток кампании — невозможность закрепиться на пользовательских устройствах. Чтобы избавиться от зловреда, достаточно было перезагрузить гаджет. Однако если жертва снова заходила на взломанный ресурс, шло повторное заражение.

Использованные уязвимости iOS

При разборе кампании исследователи обнаружили 14 багов iOS, включая две 0-day (CVE-2019-7286, CVE-2019-7287). Разработчики Apple пропатчили последние две уязвимости в феврале, через неделю после того, как специалисты Google сообщили им об угрозе.

Аналитики уточняют, что семь багов были связаны с работой браузера iPhone, пять содержались в ядре системы, два позволяли выйти из песочницы устройства. По мнению экспертов, злоумышленники последовательно писали эксплойты по мере выхода версий iOS, продолжая слежку за жертвами на протяжении двух лет.

Злоумышленники все еще активны

Продолжительность и изощренность обнаруженной кампании позволяет специалистам заключить, что угрозу рано списывать со счетов — вполне возможно, что преступники уже используют другие, неизвестные пока эксплойты.

«Пользователи принимают решения исходя из общего представления о безопасности iOS-устройств, — рассуждает эксперт Google Project Zero Иэн Бир (Ian Beer). — В реальности даже средства защиты не снимают риск атаки, особенно если вы оказались под прицелом преступников. Для этого достаточно родиться в какой-либо определенной стране или принадлежать к какой-либо национальности».

Ранее специалисты сообщили, что из-за ошибки разработчиков Apple в новой версии iOS вновь появился уже закрытый баг. В результате все владельцы iPad, iPhone и iPod Touch с актуальной версией ПО стали уязвимы перед атаками с выполнением стороннего кода.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости, Хакеры