Миллионы iPhone подверглись атаке через уязвимость безопасности в службе обмена сообщениями iMessage

Соответственно, эта вредоносная программа воспользовалась уязвимостью безопасности в сервисе обмена сообщениями iMassage, предоставляемом Apple, для отправки вредоносного кода и получения контроля над устройством.

iMessage — это сервис обмена сообщениями Apple, доступный исключительно для устройств из экосистемы «надкушенного яблока», таких как iPhone, iPad, iPod touch и MacBook, работающих через мобильные сети передачи данных или Wi-Fi. Сообщения iMessage будут полностью зашифрованы и будут отображаться синим цветом. Кроме того, отправка сообщений iMessage будет совершенно бесплатной, для этого потребуется только доступ телефона к сети.

Иллюстрация фото.

Вредоносное ПО было обнаружено, когда специалисты «Лаборатории Касперского» заподозрили неладное в работе iPhone сотрудников, включая руководителей среднего и высшего звена, например, устройства работали необычно медленно и не обновлялись до новой операционной системы iOS. Не имея возможности проверить iPhone изнутри, «Лаборатория Касперского» создала автономные резервные копии устройств, которые, по их мнению, были заражены, и обнаружила следы вредоносного ПО.

Производитель программного обеспечения безопасности «Лаборатория Касперского» заявил, что это была целенаправленная кампания против владельцев iPhone, организованная группой киберпреступников, которую «Лаборатория Касперского» назвала «Операцией «Треугольник»».

Как работает вредоносное ПО?

Киберпреступники будут использовать приложение iMessage для отправки сообщений с прикрепленным вредоносным ПО на атакуемые iPhone. Вредоносное ПО будет использовать уязвимости безопасности операционной системы iOS для выполнения кода и установки вредоносного ПО без участия пользователя iPhone.

Вредоносное ПО может проникнуть в iOS без ведома пользователя. После успешной установки оно будет «слушать» команды удалённых хакеров при каждом подключении устройства к интернету.

По словам «Лаборатории Касперского», эксплуатируя уязвимость, вредоносное ПО получало неограниченный доступ к iPhone и выполняло ряд команд для сбора личной информации, включая записи микрофона, изображения из мессенджеров и геолокацию. Даже удалённые сообщения можно было восстановить. После кражи данных программа автоматически стирает следы, поэтому пользователям сложно определить, что их iPhone заражён вредоносным ПО.

Как удалить эту вредоносную программу с iPhone?

Простой способ определить наличие этого вредоносного ПО на вашем iPhone — это неспособность обновить устройство до новой версии iOS. Поскольку обновления iOS заблокированы, в настоящее время невозможно удалить это вредоносное ПО без потери пользовательских данных.

Таким образом, единственный способ удалить вредоносное ПО с iPhone пользователя — восстановить заводские настройки и загрузить последнюю версию iOS. Однако это может быть невозможно для некоторых старых моделей iPhone, поскольку они не поддерживают новые обновления операционной системы. С другой стороны, даже если вредоносное ПО будет удалено из памяти iPhone, после перезагрузки оно может снова заразить устройство через уязвимости в устаревшей версии iOS.

По оценкам, «Треугольная кампания» активна с 2019 года и продолжается до сих пор. Apple, вероятно, знала об уязвимости и исправила её, поскольку уязвимостью подвержены только модели iPhone с iOS 15.7 и более ранними версиями.

По данным Apple, более 80% пользователей iPhone обновились до iOS 16, что означает, что большинство из них больше не подвержено атакам. Однако, учитывая, что в мире насчитывается 1,36 млрд активных iPhone, 258 млн пользователей всё ещё могут стать жертвами атак.

По словам Касперского, iPhone — лёгкая цель для подобных атак, поскольку операционная система iOS подобна «чёрному ящику», в котором вредоносное ПО может легко скрываться годами. Apple обладает монополией на инструменты исследования, поэтому обнаружить подобные угрозы непросто.

По данным «Лаборатории Касперского», это только начало расследования этой сложной атаки, и в ближайшее время предстоит ещё много работы. По мере продолжения расследования новые данные, связанные с этим вредоносным ПО, будут опубликованы на Международной конференции по кибербезопасности, которая пройдёт в октябре.