Хакеры начали использовать для взлома iPhone коммерческое шпионское ПО, ранее доступное правительственным структурам / Хабр

Киберпреступные группировки начали использовать для взлома iPhone коммерческое шпионское программное обеспечение, которое ранее было доступно в основном правительственным структурам, пишет Axios. Владельцы смартфонов Apple могут пострадать от кражи текстовых сообщений, фотографий, заметок и данных календаря. О двух кампаниях против iPhone сообщили исследователи Google, iVerify и Lookout.

Google обнаружила сложный набор инструментов для взлома iPhone под названием Coruna, который изначально разработали для неназванного государственного заказчика. В итоге Coruna попал в распоряжении китайской киберпреступной группировки. Исследователи iVerify считают, что за разработкой Coruna стоит американский оборонный подрядчик L3Harris, который продал набор правительству США. Хакеры размещали Coruna на поддельных криптовалютных и финансовых платформах, заражая уязвимые iPhone, которые посещали эти сайты.

На том же сервере исследователи выявили ещё один набор инструментов для взлома iPhone, получивший название DarkSword. Он способен мгновенно заражать iPhone при посещении определённых сайтов в рамках атаки типа Watering Hole. ИБ-специалисты связали DarkSword с российской хакерской группой.

После попадания на устройство DarkSword извлекает практически все данные, включая отправленные сообщения в iMessage, Telegram и WhatsApp**, информацию о местоположении, контакты, историю звонков и браузера, настройки Wi-Fi и файлы cookie. Злоумышленники оставили незашифрованным базовый код JavaScript инструмента на сервере, поэтому любые киберпреступники могли копировать и повторно использовать DarkSword для более широкого круга целей.

Представитель Apple Сара О’Рурк заявила, что компания уже устранила основные уязвимости iOS, на которые нацелено шпионское ПО. Во второй половине марта американская корпорация выпустила экстренное исправление для старых устройств, которые не могут загрузить более новую версию операционной системы. Safari теперь блокирует вредоносные URL, выявленные в рамках исследования Google.

Воспроизведение или приобретение подобных инструментов ранее было доступно только хорошо финансируемым государственным заказчикам. Правительственные структуры использовали такое ПО для слежки за активистами, журналистами и иностранными политиками. Доступ преступников к шпионскому ПО снижает барьер для совершения аналогичных атак и расширяет круг потенциальных целей.

«Благодаря огромному притоку инвестиций в коммерческих поставщиков шпионского ПО вокруг мобильных уязвимостей сформировалась экосистема, которая, откровенно говоря, делает эти инструменты доступными повсеместно», — рассказал соучредитель и операционный директор iVerify Роки Коул.

Apple позиционирует iPhone как устройства с высоким уровнем безопасности. Однако недавние исследования показали, что эти устройства могут быть не такими безопасными, как считалось ранее, отметил Коул. О’Рурк же указывает, что устройства Apple имеют «многоуровневую систему безопасности для защиты от широкого спектра потенциальных угроз», а защиту данных пользователей обеспечивают команды специалистов по всему миру.

Глобальный директор Lookout по анализу угроз для мобильных устройств Джастин Альбрехт считает, что разработчики DarkSword, вероятно, использовали большую языковую модель для создания части хакерских инструментов, если судить по названиям некоторых файлов. Альбрехт не уверен, что эти разработчики вообще обладают серьёзными техническими навыками.

Режим безопасности Lockdown Mode смог предотвратить лишь отдельные части эксплойта DarkSword и полностью остановил Coruna.

_{Meta Platforms*, а также принадлежащие ей социальные сети Facebook**, WhatsApp** и Instagram**:}
_{*признана экстремистской организацией, её деятельность в России запрещена;}
_{**запрещены в России}