Tin tức và phân tích của tất cả các thiết bị di động

Trên iPhone, phần mềm độc hại mới theo dõi bạn qua máy ảnh (ngay cả khi bạn nghĩ rằng mình đã tắt nó)

iphone12pro

Một Trojan mới đổ lỗi cho iOS vàđiện thoại Iphone đã được phát hiện bởi các nhà nghiên cứu an ninh mạng. Điều này sẽ có thể mô phỏng sự tắt (điện) của thiết bị và sử dụng máy ảnh của nó, ngay cả khi nó tắt.

Đó là một công ty khởi nghiệp ở California chuyên phân tích các cuộc tấn công mạng di động, ZecOps, đã thực hiện phát hiện này. Cô ấy đã cố gắng chứng minh rằng một phần mềm độc hại mới có thể bị khai thác trên iOS và nó cho phép những kẻ tấn công thực hiện mọi việc ” vui vẻ “. Trojan mới này thực sự có thể tạo ảo giác cho người dùng rằng iPhone của anh ta đang tắt, trong khi anh ta thực sự đang theo dõi nó bằng cách sử dụng micrô và máy ảnh của mình. Khó làm tốt hơn khi nói đến phần mềm độc hại dai dẳng.

Bạn nghĩ rằng iPhone của bạn đã tắt …

Lý thuyết (nhưng bạn biết họ nói gì không!) Nói chung là sau khi xóa phần mềm độc hại khỏi thiết bị iOS, bạn chỉ cần khởi động lại thiết bị để xóa vĩnh viễn tất cả dấu vết của phần mềm độc hại khỏi bộ nhớ của mình. Ngoại trừ việc nhóm nghiên cứu ZecOps nhận ra rằng iPhone không thể sửa chữa được ở cấp độ này và việc không khai thác một lỗ hổng trong nền tảng iOS, nó không thể được sửa chữa bằng cách Apple.

Tính độc đáo của phần mềm độc hại này là gì, hiệu quả mà ZecOps đã quản lý để chứng minh là gì? Chúng ta gần như có thể nói về ma thuật, bởi vì trojan này có thể ngăn người dùng khởi động lại iPhone bị nhiễm của mình theo cách thủ công, đồng thời khiến chủ sở hữu tin rằng điện thoại đã bị tắt và sau đó khởi động lại. Bàn tay này biến phần mềm độc hại thành một con quỷ nhỏ dai dẳng, đã đặt cho nó cái tên: “NoReboot”.

Nhưng làm thế nào nó quản lý để ngăn chặn sự tắt máy thực sự của thiết bị trong khi mô phỏng khởi động lại? Các chuyên gia thực sự đến “ chiếm quyền điều khiển sự kiện tắt thiết bị “. Trên thực tế, thay vì dừng iPhone, phần mềm độc hại sẽ đưa mã vào các trình nền iOS: InCallService, SpringBoard và BackBoardd. Nói chung, InCallService gửi tín hiệu tắt máy đến SpringBoard, khi bạn tắt iPhone theo cách thủ công. Ngoại trừ ở đây, InCallService không gửi tín hiệu đến SpringBoard, nhưng nó đang yêu cầu SpringBoard và BackBoardd thực thi mã được đưa vào mà chúng ta đã nói đến.

Các daemon được sửa đổi bởi NoReboot

Phần mềm độc hại sử dụng thủ thuật và hành vi gian lận để tạo ảo giác tắt và khởi động lại thiết bị

Thủ thuật này hoạt động theo mọi cách, và Trojan tiếp tục quá trình tắt máy, cho đến khi bánh xe quay biến mất rất nhanh và tạo ra ảo giác điện thoại đã tắt. Ngoại trừ iPhone vẫn đang bật và kết nối với Internet, mặc dù nó không phản hồi. Trong thực tế, chỉ các tín hiệu âm thanh và hình ảnh bị tắt, chẳng hạn như màn hình, bộ rung hoặc âm thanh.

Một khi tay sai được xác thực, những kẻ tấn công có thể làm gì? Trong khi bạn nghĩ rằng điện thoại của mình đã tắt, kẻ tấn công có thể chỉ cần sử dụng máy ảnh và micrô của bạn. Phần mềm độc hại, thiên về việc vượt qua gian lận, lừa dối hơn là lỗ hổng iOS, sau đó là nội dung với một vai trò – đã đủ nghiêm trọng – là gián điệp. Đặc biệt là vì NoReboot cũng có thể mô phỏng khởi động lại thiết bị.

Trojan vẫn chơi với các daemon iOS. Nếu chủ sở hữu iPhone quyết định khởi động lại điện thoại trong khi nó vẫn đang chạy, Backboardd, dựa trên thông tin nhập của người dùng, có thể mô phỏng quá trình khởi động lại, thậm chí còn hiển thị logo Apple, khi anh ấy thể hiện bánh xe quay vào thời điểm tuyệt chủng giả. Bằng cách giả vờ tắt và khởi động lại thiết bị, phần mềm độc hại do đó tồn tại dai dẳng.

Malwarebytes giải thích về phần của mình rằng ” chỉ còn là vấn đề thời gian trước khi tin tặc iOS bắt đầu tích hợp nó vào bộ phần mềm độc hại của họ “. Trong trường hợp bạn sợ bị xâm phạm, tính kiên trì của bạn sẽ mạnh hơn so với phần mềm độc hại. Do đó, ngay cả sau khi logo xuất hiện Applegiữ các nút khởi động lại và di chuột qua thủ thuật, cuối cùng sẽ thực sự tắt, sau đó khởi động lại iPhone.


Về cùng một chủ đề:
Predator: ngạc nhiên, Pegasus không phải là phần mềm gián điệp duy nhất nhắm mục tiêu vào các chính trị gia, nhà hoạt động và nhà báo

Nguồn: GitHub-ZecOps, Malwarebytes