Novi malver za iPhone špijunira preko kamere
Prilikom uklanjanja zlonamernog softvera sa iOS uređaja, uvek je potrebno ponovo pokrenuti uređaj da biste obrisali malver iz memorije.
Budite na oprezu
To više nije slučaj. Istraživači bezbednosti iz ZecOps-a kreirali su novi proof-of-concept (PoC) iPhone trojanac, koji može da radi „zabavne“ stvari. Ne samo da može da lažira da se uređaj isključuje, već može i dozvoliti napadačima da njuškaju preko ugrađenog mikrofona i kamere uređaja i primaju potencijalno osetljive podatke, jer je još uvek povezan na mrežnu vezu. Sprečavanje korisnika da ručno ponovo pokreću zaraženi uređaj tako što će ih navesti da veruju da su to uspešno uradili, je značajna tehnika postojanosti malvera. Povrh toga, uključena je ljudska obmana: taman kada ste mislili da je nešto nestalo, još uvek je prilično tu.
Istraživači su ovaj sveukupni napad nazvali „NoReboot“, i on ne iskorišćava nikakve nedostatke na iOS platformi, što znači da Apple ne može da ga zakrpi. Dakle, kako zlonamerni softver sprečava stvarno gašenje uređaja? Ukratko, istraživači preuzimaju čin isključivanja na iOS uređaju. Ovo uključuje ubacivanje novog koda u tri programa koji rade u pozadini i koji imaju svoje jedinstvene funkcije: InCallService, SpringBoard i Backboardd. InCallService je odgovoran za slanje signala „gašenja“ SpringBoardu kada korisnik ručno isključi iOS uređaj. Istraživači su uspeli da preuzmu ovaj signal pomoću hooking procesa. Dakle, umesto da InCallService šalje signal SpringBoard-u kako bi trebalo, on signalizira SpringBoard-u i Backboardd-u da izvrši kodove koji su u njih ubačeni. Kod u SpringBoard-u mu govori da izađe, da se ne pokrene ponovo i da odgovori samo na dugo pritiskanje dugmeta.
Pošto SpringBoard reaguje na interakciju i ponašanje korisnika, to što BackBoardd ne reaguje ostavlja utisak da je uređaj isključen, a u stvari nije. Kod u BackBoarddu, s druge strane, govori mu da sakrije spinning wheel animaciju, koja se pojavljuje kada SpringBoard prestane da radi. U ovom trenutku, iOS uređaj izgleda i oseća se kao da ne radi. Ali imajte na umu da je još uvek uključen, još uvek povezan na internet i još uvek ima funkcije koje su lako dostupne za daljinsko korišćenje. Imajte na umu da kada je iOS uređaj zaražen NoReboot-om, on počinje da “njuška” preko kamere. Kao što simulira isključivanje uređaja, NoReboot takođe može simulirati pokretanje uređaja. I BackBoardd igra veliku ulogu u tome. Pošto SpringBoard više ne funkcioniše, Backboardd preuzima kontrolu nad ekranom i reaguje na korisničke unose, uključujući duge pritiske tastera.
Backboardd-u je rečeno da prikazuje Apple logo, poznati indikator da je iOS uređaj zaista isključen, što tera korisnike da puste dugme i sprečava ih da istinski ponovo pokrecnu uređaj. Zatim se SpringBoard ponovo pokreće tako da Backboardd može da vrati svoju privilegiju da kontroliše ekran. Otkako je Apple predstavio funkciju koja omogućava vlasnicima uređaja da prate svoje telefone čak i kada su isključeni, stvari više nisu iste. „Uključeno“ ostaje uključeno, dok „isključeno“ više nije sasvim isključeno. A ovo napadačima samo daje priliku da dopuste da njihov malver opstane na pogođenim uređajima. NoReboot je u ovom trenutku samo PoC, ali njegov kod je već javan. Samo je pitanje vremena kada će iOS napadači to početi da ugrađuju u svoje komplete zlonamernog softvera. Ako sumnjate da je vaš uređaj ugrožen malverom nalik NoReboot-u, možete nastaviti da pritiskate dugmad za prinudno ponovno pokretanje nakon što se pojavi Apple logo. Zapamtite da je ovo simulirano ponovno pokretanje, a držanje tastera za ponovno pokretanje pritisnuto bi primoralo zaraženi uređaj da se zaista ponovo pokrene. Vlasnici iOS uređaja takođe mogu da koriste Apple Configurator.
Izvor: Malwarebytes
