Operation Triangulation retter sig mod iOS-enheder med ny malware

Mens de overvågede netværkstrafikken på deres dedikerede virksomheds Wi-Fi-netværk til mobile enheder, opdagede forskere hos Securelist mistænkelig aktivitet, der stammer fra flere iOS-baserede telefoner. På grund af de iboende begrænsninger ved at inspicere moderne iOS-enheder internt, valgte forskere at oprette offline-sikkerhedskopier af de pågældende enheder og analyserede dem ved hjælp af Mobile Verification Toolkit's mvt-ios-værktøj. Gennem denne analyse afslørede de beviser på kompromis, hvilket førte til identifikation af en kampagne, der omtales som "Operation Triangulation."

Ved at undersøge sikkerhedskopier af mobilenheder, som omfatter en delvis replika af filsystemet, inklusive brugerdata- og servicedatabaser, var forskerne i stand til at bruge fil- og mappetidsstempler samt databaseposter til at rekonstruere en grov tidslinje af hændelser på den kompromitterede enheder. Mvt-ios-værktøjet lettede oprettelsen af en sorteret tidslinjefil kaldet "timeline.csv", beslægtet med supertidslinjerne, der bruges i traditionelle digitale retsmedicinske værktøjer.

Ved at udnytte denne tidslinje fandt forskerne med succes specifikke artefakter, der indikerede kompromiset. Denne opdagelse drev deres forskning fremad, hvilket gav dem mulighed for at skitsere den generelle sekvens af infektion som følger:

• Den målrettede iOS-enhed modtager en iMessage, der indeholder en udnyttelsesbelastet vedhæftet fil.
• Meddelelsen udløser en sårbarhed i enheden, hvilket fører til kodekørsel uden brugerinteraktion.
• Udnyttelsen fortsætter med at downloade flere efterfølgende trin fra kommando- og kontrolserveren (C&C), inklusive udnyttelse af privilegieeskalering.
• Efter vellykket udnyttelse downloades en fuldt udstyret avanceret persistent trussel (APT) platform, der fungerer som den endelige nyttelast, fra C&C-serveren.
• Den indledende besked og udnyttelsesvedhæftning slettes for at dække spor.

På grund af operativsystemets begrænsninger mangler det ondsindede værktøjssæt vedholdenhed. Følgelig antyder tidslinjer for flere enheder muligheden for geninfektion efter genstart. De tidligste identificerede spor af infektion går tilbage til 2019. Fra juni 2023 forbliver angrebet i gang, rettet mod enheder, der kører iOS 15.7, den seneste version i skrivende stund.
Analysen af den endelige nyttelast er stadig i gang. Kører med root-privilegier implementerer koden en række kommandoer til at indsamle system- og brugerinformation og kan udføre vilkårlig kode opnået som plugin-moduler fra C&C-serveren.

Det er afgørende at bemærke, at på trods af at malware inkorporerer specifikke kodesegmenter dedikeret til at slette spor af kompromittering, er det stadig muligt pålideligt at afgøre, om en enhed er blevet kompromitteret. Derudover, hvis en ny enhed konfigureres ved at migrere brugerdata fra en ældre enhed, vil iTunes-sikkerhedskopien af begge enheder indeholde spor af kompromis med nøjagtige tidsstempler.

Hvorfor er iOS-telefonmalware vanskelig at dissekere?

iOS-telefon malware anses generelt for at være sværere at dissekere sammenlignet med malware, der er målrettet mod andre operativsystemer, såsom Android. Det er der flere grunde til:

Lukket økosystem: iOS er et lukket økosystem, hvilket betyder, at Apple kontrollerer hardware, software og app-distribution på deres enheder. Denne lukkede natur gør det mere udfordrende for malware at få fodfæste og sprede sig i systemet.

App Store anmeldelsesproces: App Store har en streng gennemgangsproces, hvor hver app screenes, før den gøres tilgængelig til download. Denne proces hjælper med at forhindre ondsindede apps i at blive distribueret bredt. Selvom dette ikke helt eliminerer muligheden for, at malware slipper igennem, giver det et ekstra lag af beskyttelse.

Sandboxing: iOS-apps er sandboxed, hvilket betyder, at de opererer i deres eget begrænsede miljø og har begrænset adgang til de underliggende systemressourcer og data. Denne isolation forhindrer malware i nemt at spredes på tværs af forskellige dele af systemet.

Kodesignering og kryptering: iOS-apps skal være underskrevet af et udviklercertifikat udstedt af Apple. Denne kodesignering sikrer, at kun autoriserede udviklere kan oprette og distribuere apps. Derudover bruger iOS stærke krypteringsforanstaltninger, hvilket gør det vanskeligt at analysere og manipulere med appens kode.

Begrænsede brugerrettigheder: iOS begrænser brugerrettigheder, hvilket forhindrer apps i at få adgang til følsomme områder på enheden uden eksplicit brugertilladelse. Denne begrænsning reducerer den potentielle påvirkning af malware.

Mens iOS tilbyder flere sikkerhedsfunktioner, er det vigtigt at bemærke, at intet system er fuldstændig immunt over for malware. Der har været tilfælde af iOS-malware, men på grund af ovennævnte faktorer har det en tendens til at være mindre udbredt sammenlignet med andre platforme. Men efterhånden som teknologien udvikler sig, tilpasser malware-skabere sig løbende og finder nye måder at udnytte sårbarheder på, hvilket kræver løbende sikkerhedsforanstaltninger og årvågenhed.