Исследователи кибербезопасности изучили механику работы шпионской программы под названием «Хищник» (Predator). Самой интересной находкой стали механизмы, с помощью которых зловреду удается скрывать индикаторы использования камеры и микрофона в операционной системе iOS и благодаря этому вести скрытое наблюдение за пользователем зараженного устройства.
В нашем посте сегодня расскажем о том, что представляет собой шпионское ПО Predator, как устроена система индикаторов использования камеры и микрофона в iOS и каким образом зловреду удается их отключать.
Как работает это шпионское ПО
Мы уже подробно разбирали наиболее известное коммерческое шпионское ПО в специальном материале — среди описанных нами зловредов был в том числе и герой этого поста, Predator. Поэтому за детальным рассказом о данном шпионе можно обратиться к предыдущему посту, а здесь мы лишь вкратце напомним основные моменты.
Изначально разработкой Predator занималась компания Cytrox из Северной Македонии, впоследствии она была приобретена организацией Intellexa, зарегистрированной на Кипре и принадлежащей бывшему сотруднику израильской разведки — такой вот шпионский интернационал.
Predator, строго говоря, является частью комплекса шпионского ПО, предназначенного для слежки за пользователями устройств на iOS и Android. Его первая часть называется «Чужой» (Alien) — она отвечает за взлом устройства и установку на него Predator. Эти зловреды, как несложно догадаться, названы в честь знаменитых фильмов ужасов.
Атака начинается с сообщения, содержащего вредоносную ссылку. При переходе по ней жертва попадает на сайт, который с помощью цепочки уязвимостей в браузере и операционной системе заражает устройство. Для притупления бдительности жертва затем перенаправляется на легитимный сайт.
Помимо Alien, существует еще несколько вариантов «средства доставки» Predator на устройство жертвы. Это устанавливаемые на стороне провайдера связи системы Mars и Jupiter, которые позволяют заражать устройства с помощью атаки «человек посередине» (man-in-the-middle).
Шпионское ПО Predator для iOS обладает широким спектром инструментов для слежки за пользователем. В частности, оно может записывать и передавать данные с камеры и микрофона устройства. Разумеется, чтобы пользователь не заметил подозрительную активность, встроенные в систему индикаторы записи — зеленая и оранжевая точки в верхней части экрана — должны быть отключены. О том, что Predator умеет каким-то образом их скрывать, было известно давно, но как именно шпион это делает, стало понятно только благодаря свежему исследованию.
Как работает система индикаторов камеры и микрофона в iOS
Чтобы понять, каким образом Predator отключает индикаторы использования камеры и микрофона, для начала необходимо разобраться, как устроена их работа в iOS. Мобильные устройства компании Apple, начиная с iOS 14, выпущенной в 2020 году, оповещают пользователя о том, что его микрофон или камера включены, с помощью оранжевой и зеленой точек в верхней части экрана. Если одновременно работают и камера, и микрофон, отображается только зеленая точка.
Когда какое-либо приложение начинает использовать камеру или микрофон, система фиксирует изменение состояния соответствующего модуля. Затем данные об активности этих модулей собираются внутренним системным компонентом, который передает эту информацию для дальнейшей обработки в приложение SpringBoard, отвечающее за главный экран устройства. Получив информацию о том, что камера или микрофон используются, SpringBoard включает или выключает зеленый или оранжевый индикатор.
Со стороны приложения этот процесс выглядит следующим образом. Сначала приложение запрашивает у пользователя разрешение на доступ к камере или микрофону. Если пользователь дал добро данному приложению использовать, iOS дает команду включить соответствующий модуль и автоматически обновляет индикатор состояния. При этом прямого доступа к индикаторам у сторонних приложений нет — они полностью контролируются iOS.
Как Predator вмешивается в работу индикаторов камеры и микрофона в iOS
Исследователи кибербезопасности изучили попавшую им в руки версию Predator и обнаружили следы сразу нескольких способов, с помощью которых создатели шпионского ПО пытались обойти встроенные механизмы iOS и отключить индикаторы .
В первом подходе, который, судя по всему, использовался на ранних этапах разработки, зловред вмешивался в работу системы индикаторов на этапе их отображения — уже после того как SpringBoard получал информацию об активности камеры или микрофона. Однако такой подход, очевидно, показался разработчикам шпиона слишком сложным и ненадежным. Поэтому в коде трояна данная функция осталась в качестве «мертвого груза» — она никогда не вызывается.
В итоге Predator использует более простой и эффективный способ, работающий на уровне механизма, через который система получает информацию о включении камеры или микрофона. Для этого Predator вмешивается в коммуникацию SpringBoard и компонента, который собирает данные об активности этих модулей.
Используя особенности языка Objective-C, на котором написано приложение SpringBoard, вредоносная программа полностью блокирует передачу сигналов о том, что камера или микрофон были активированы. В результате SpringBoard просто никогда не получает информацию об изменении состояния модулей — и не включает индикаторы записи.
Как снизить риск заражения шпионским ПО
Шпионское ПО уровня Predator является весьма дорогостоящим и чаще всего используется только для крайне серьезного промышленного или государственного шпионажа. Поэтому, с одной стороны, защититься от шпиона такого класса нелегко — а защититься полностью, скорее всего, попросту невозможно. Но, с другой стороны, по тем же самым причинам вероятность стать его жертвой невысока.
Если вы имеете основания полагать, что вы под угрозой атаки шпионского ПО класса Predator или Pegasus, то приведем несколько советов, как можно затруднить злоумышленникам задачу по заражению вашего устройства.
- Не переходите по подозрительным ссылкам от неизвестных вам отправителей.
- Регулярно обновляйте свою операционную систему, браузеры и мессенджеры.
- Периодически перезагружайте свое устройство — это поможет «сбросить хвост», так что атакующим придется заражать устройство заново.
Больше советов о том, как защититься от шпионского ПО, читайте в посте эксперта по безопасности Костина Райю «Как уберечься от Pegasus, Chrysaor и других мобильных шпионов».