Operation Triangulation が新型マルウェアで iOS デバイスを標的に

Securelist の研究者は、モバイル デバイス専用の企業 Wi-Fi ネットワークのネットワーク トラフィックを監視しているときに、複数の iOS ベースの電話から発生した不審なアクティビティを検出しました。最新の iOS デバイスを内部で検査することには固有の制限があるため、研究者は問題のデバイスのオフライン バックアップを作成し、Mobile Verification Toolkit の mvt-ios ツールを使用して分析することにしました。この分析を通じて、彼らは侵害の証拠を発見し、「Operation Triangulation」と呼ばれるキャンペーンの特定につながりました。

ユーザー データやサービス データベースを含むファイル システムの部分的なレプリカを含むモバイル デバイスのバックアップを調査することにより、研究者らはファイルとフォルダのタイムスタンプとデータベース レコードを利用して、侵害されたデバイス上のイベントの大まかなタイムラインを再構築することができました。デバイス。 mvt-ios ユーティリティは、従来のデジタル フォレンジック ツールで使用されるスーパー タイムラインに似た、「timeline.csv」と呼ばれるソートされたタイムライン ファイルの作成を容易にしました。

このタイムラインを活用することで、研究者たちは侵害を示す特定のアーティファクトを正確に特定することに成功しました。この発見により研究は前進し、感染の一般的な順序を次のように概説できるようになりました。

• 標的となった iOS デバイスは、エクスプロイトが含まれた添付ファイルを含む iMessage を受信します。
• このメッセージはデバイス内の脆弱性を引き起こし、ユーザーの介入なしでコードが実行されます。
• このエクスプロイトは、権限昇格エクスプロイトを含む、コマンド アンド コントロール (C&C) サーバーから後続のいくつかの段階をダウンロードします。
• 悪用が成功すると、最終ペイロードとして機能するフル機能の Advanced Persistent Threat (APT) プラットフォームが C&C サーバーからダウンロードされます。
• 最初のメッセージとエクスプロイトの添付ファイルはトラックをカバーするために削除されます。

オペレーティング システムの制限により、悪意のあるツールセットには永続性がありません。したがって、複数のデバイスのタイムラインは、再起動後に再感染する可能性を示唆しています。感染の痕跡が最も早く確認されたのは 2019 年に遡ります。2023 年 6 月の時点でも攻撃は続いており、この記事の執筆時点での最新バージョンである iOS 15.7 を実行しているデバイスが標的となっています。
最終的なペイロードの分析はまだ進行中です。 root 権限で実行されるこのコードは、システムおよびユーザー情報を収集するための一連のコマンドを実装し、C&C サーバーからプラグイン モジュールとして取得された任意のコードを実行できます。

マルウェアには侵害の痕跡を消去するための特定のコード セグメントが組み込まれているにもかかわらず、デバイスが侵害されたかどうかを確実に判断できることに注意することが重要です。さらに、古いデバイスからユーザー データを移行して新しいデバイスをセットアップした場合、両方のデバイスの iTunes バックアップには、正確なタイムスタンプを持つ侵害の痕跡が含まれます。

iOS 電話マルウェアの分析が難しいのはなぜですか?

一般に、iOS スマートフォンのマルウェアは、Android などの他のオペレーティング システムをターゲットとするマルウェアに比べて、分析が難しいと考えられています。これにはいくつかの理由があります。

クローズド エコシステム: iOS はクローズド エコシステムです。これは、Apple がデバイス上のハードウェア、ソフトウェア、アプリの配布を厳密に管理していることを意味します。この閉鎖的な性質により、マルウェアがシステム内に足場を築いて拡散することがより困難になります。

App Store の審査プロセス: App Store には、ダウンロード可能になる前に各アプリが審査される厳格な審査プロセスがあります。このプロセスは、悪意のあるアプリが広範囲に配布されるのを防ぐのに役立ちます。これによりマルウェアがすり抜ける可能性が完全に排除されるわけではありませんが、追加の保護層が提供されます。

サンドボックス: iOS アプリはサンドボックス化されています。つまり、iOS アプリは独自の制限された環境で動作し、基盤となるシステム リソースとデータへのアクセスが制限されます。この隔離により、マルウェアがシステムのさまざまな部分に簡単に拡散するのを防ぎます。

コード署名と暗号化: iOS アプリは、Apple が発行した開発者証明書によって署名される必要があります。このコード署名により、承認された開発者のみがアプリを作成および配布できるようになります。さらに、iOS は強力な暗号化手段を採用しているため、アプリのコードの分析や改ざんが困難になります。

制限されたユーザー権限: iOS はユーザー権限を制限し、明示的なユーザーの許可なしにアプリがデバイスの機密領域にアクセスできないようにします。この制限により、マルウェアの潜在的な影響が軽減されます。

iOS にはいくつかのセキュリティ機能が備わっていますが、マルウェアの影響を完全に受けないシステムはないことに注意することが重要です。 iOS マルウェアの例はありますが、上記の要因により、他のプラットフォームに比べて蔓延が少ない傾向があります。しかし、テクノロジーが進歩するにつれて、マルウェア作成者は継続的に適応し、脆弱性を悪用する新しい方法を見つけ出すため、継続的なセキュリティ対策と警戒が必要になります。