Operation Triangulation retter seg mot iOS-enheter med ny skadelig programvare

Mens de overvåket nettverkstrafikken til deres dedikerte Wi-Fi-nettverk for mobile enheter, oppdaget forskere ved Securelist mistenkelig aktivitet som stammer fra flere iOS-baserte telefoner. På grunn av de iboende begrensningene ved å inspisere moderne iOS-enheter internt, valgte forskere å lage offline sikkerhetskopier av de aktuelle enhetene og analyserte dem ved å bruke Mobile Verification Toolkits mvt-ios-verktøy. Gjennom denne analysen avdekket de bevis på kompromiss, noe som førte til identifiseringen av en kampanje referert til som «Operation Triangulation».

Ved å undersøke sikkerhetskopiene av mobilenheter, som omfatter en delvis replika av filsystemet, inkludert brukerdata- og tjenestedatabaser, var forskerne i stand til å bruke fil- og mappetidsstempler, samt databaseposter, for å rekonstruere en grov tidslinje av hendelser på den kompromitterte enheter. Mvt-ios-verktøyet gjorde det lettere å lage en sortert tidslinjefil kalt "timeline.csv", i likhet med supertidslinjene som brukes i tradisjonelle digitale rettsmedisinske verktøy.

Ved å utnytte denne tidslinjen klarte forskerne å finne spesifikke artefakter som indikerte kompromisset. Denne oppdagelsen drev forskningen deres fremover, slik at de kunne skissere den generelle infeksjonssekvensen som følger:

• Den målrettede iOS-enheten mottar en iMessage som inneholder et utnyttelsesbelastet vedlegg.
• Meldingen utløser en sårbarhet i enheten, noe som fører til kodekjøring uten brukerinteraksjon.
• Utnyttelsen fortsetter med å laste ned flere påfølgende stadier fra kommando- og kontrollserveren (C&C), inkludert privilegieeskaleringsutnyttelser.
• Etter vellykket utnyttelse lastes en fullt utstyrt avansert persistent trussel (APT)-plattform, som fungerer som den endelige nyttelasten, ned fra C&C-serveren.
• Den første meldingen og utnyttelsesvedlegget slettes for å dekke spor.

På grunn av operativsystembegrensninger mangler det ondsinnede verktøysettet utholdenhet. Følgelig antyder tidslinjer for flere enheter muligheten for reinfeksjon etter omstart. De tidligste identifiserte sporene av infeksjon dateres tilbake til 2019. Fra juni 2023 forblir angrepet pågående, rettet mot enheter som kjører iOS 15.7, den nyeste versjonen i skrivende stund.
Analysen av den endelige nyttelasten pågår fortsatt. Kjører med root-privilegier, implementerer koden en rekke kommandoer for å samle system- og brukerinformasjon og kan utføre vilkårlig kode hentet som plugin-moduler fra C&C-serveren.

Det er viktig å merke seg at til tross for at skadelig programvare inneholder spesifikke kodesegmenter dedikert til å slette spor av kompromittering, er det fortsatt mulig å pålitelig fastslå om en enhet har blitt kompromittert. I tillegg, hvis en ny enhet settes opp ved å migrere brukerdata fra en eldre enhet, vil iTunes-sikkerhetskopien av begge enhetene inneholde spor av kompromiss med nøyaktige tidsstempler.

Hvorfor er skadelig programvare for iOS-telefoner vanskelig å dissekere?

Skadevare for iOS-telefoner anses generelt som vanskeligere å dissekere sammenlignet med skadelig programvare rettet mot andre operativsystemer, for eksempel Android. Det er flere grunner til dette:

Lukket økosystem: iOS er et lukket økosystem, noe som betyr at Apple kontrollerer maskinvaren, programvaren og appdistribusjonen på enhetene sine. Denne lukkede naturen gjør det mer utfordrende for malware å få fotfeste og spre seg i systemet.

App Store-gjennomgangsprosess: App Store har en streng vurderingsprosess der hver app gjennomgås før den gjøres tilgjengelig for nedlasting. Denne prosessen hjelper til med å forhindre at ondsinnede apper distribueres bredt. Selv om dette ikke helt eliminerer muligheten for at skadevare slipper gjennom, gir det et ekstra lag med beskyttelse.

Sandboxing: iOS-apper er sandboxed, noe som betyr at de opererer i sitt eget begrensede miljø og har begrenset tilgang til de underliggende systemressursene og dataene. Denne isolasjonen hindrer skadelig programvare i å spre seg over ulike deler av systemet.

Kodesignering og kryptering: iOS-apper må være signert av et utviklersertifikat utstedt av Apple. Denne kodesigneringen sikrer at bare autoriserte utviklere kan lage og distribuere apper. I tillegg bruker iOS sterke krypteringstiltak, noe som gjør det vanskelig å analysere og tukle med appens kode.

Begrensede brukerrettigheter: iOS begrenser brukerprivilegier, og forhindrer apper i å få tilgang til sensitive områder på enheten uten eksplisitt brukertillatelse. Denne begrensningen reduserer den potensielle effekten av skadelig programvare.

Mens iOS tilbyr flere sikkerhetsfunksjoner, er det viktig å merke seg at ingen systemer er helt immune mot skadelig programvare. Det har vært tilfeller av iOS-malware, men på grunn av faktorene nevnt ovenfor, har det en tendens til å være mindre utbredt sammenlignet med andre plattformer. Etter hvert som teknologien utvikler seg, tilpasser skadevareskapere seg kontinuerlig og finner nye måter å utnytte sårbarheter på, noe som krever kontinuerlige sikkerhetstiltak og årvåkenhet.