Шпионское ПО Predator от Intellexa научилось скрывать индикаторы записи на iOS, тайно передавая операторам данные с камеры и микрофона. Исследователи Jamf выяснили, как вредоносное ПО обходит системные уведомления, перехватывая обновления статуса датчиков. — bleepingcomputer.com
Шпионское ПО Predator от Intellexa способно скрывать индикаторы записи на iOS, тайно передавая операторам потоки данных с камеры и микрофона.
Вредоносное ПО не использует уязвимости iOS, а полагается на ранее полученный доступ на уровне ядра для перехвата системных индикаторов, которые в противном случае выдали бы операцию наблюдения.
Apple представила индикаторы записи на панели состояния в iOS 14, чтобы уведомлять пользователей о включении камеры или микрофона, отображая зеленый или оранжевый индикатор соответственно.
Компания Intellexa, на которую наложены санкции США, разработала коммерческое шпионское ПО Predator и использовала его в атаках, эксплуатирующих неизвестные уязвимости (zero-day) Apple и Chrome, а также через механизмы 0-click-заражения.
Хотя способность Predator подавлять индикаторы активности камеры и микрофона была известна, механизм ее работы оставался неясным.
Как Predator скрывает запись
Исследователи из компании по управлению мобильными устройствами Jamf проанализировали образцы Predator и задокументировали процесс скрытия индикаторов, связанных с конфиденциальностью.
По данным Jamf, Predator скрывает все индикаторы записи в iOS 14, используя одну функцию перехвата (`HiddenDot::setupHook()`) внутри SpringBoard и вызывая ее всякий раз, когда изменяется активность датчиков (при активации камеры или микрофона).
Перехватывая вызов, Predator предотвращает поступление обновлений активности датчиков в слой пользовательского интерфейса, поэтому зеленый или оранжевый индикатор никогда не загорается.
«Целевой метод _handleNewDomainData: вызывается iOS при изменении активности датчиков — включении камеры, активации микрофона и т. д.», — объясняют исследователи Jamf.
«Перехватывая этот единственный метод, Predator перехватывает ВСЕ обновления статуса датчиков до их достижения системы отображения индикаторов».
Перехват работает путем обнуления объекта, ответственного за обновления датчиков (SBSensorActivityDataProvider в SpringBoard). В Objective-C вызовы к нулевому объекту игнорируются без ошибок, поэтому SpringBoard никогда не обрабатывает активацию камеры или микрофона, и индикатор не появляется.
Поскольку SBSensorActivityDataProvider агрегирует всю активность датчиков, этот единственный перехват отключает индикаторы как камеры, так и микрофона.
Исследователи также обнаружили «мертвый код», который пытался напрямую перехватить `SBRecordingIndicatorManager`. Однако он не выполняется и, вероятно, является результатом более раннего этапа разработки, от которого отказались в пользу более эффективного подхода, перехватывающего данные датчиков на более раннем этапе.
В случае VoIP-записей, которые Predator также поддерживает, модуль, отвечающий за это, не имеет механизма подавления индикаторов, поэтому полагается на функцию HiddenDot для скрытности.
Jamf далее поясняет, что доступ к камере осуществляется через отдельный модуль, который находит внутренние функции камеры с помощью сопоставления шаблонов инструкций ARM64 и перенаправления кода аутентификации указателя (PAC) для обхода проверок разрешений камеры.
Без загорающихся индикаторов на панели состояния активность шпионского ПО остается полностью скрытой от обычного пользователя.
Jamf отмечает, что технический анализ выявляет признаки вредоносных процессов, такие как неожиданные отображения памяти или порты исключений в SpringBoard и mediaserverd, перехваты на основе точек останова и файлы аудиозаписей, записываемые mediaserverd в необычные пути.
BleepingComputer связался с Apple с просьбой прокомментировать выводы Jamf, но компания не ответила.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas