При удалении вредоносных программ с устройства iOS говорится, что пользователям необходимо перезагрузить устройство, чтобы удалить вредоносное ПО из памяти.


Это уже не тот случай.


Исследователи безопасности из ZecOps создали новый троянский троян для iPhone, подтверждающий концепцию (PoC), способный делать “забавные” вещи. Он может не только подделать выключение устройства, но и позволить злоумышленникам шпионить через встроенный микрофон и камеру устройства и получать потенциально конфиденциальные данные из-за того, что оно все еще подключено к сетевому подключению в реальном времени.


Остановить пользователей от перезапуска зараженного устройства вручную, заставив их поверить, что они успешно это сделали, - это известный метод сохранения вредоносных программ. Кроме того, здесь замешан человеческий обман: как раз тогда, когда вы думали, что он исчез, он все еще в значительной степени там.


Исследователи окрестили эту общую атаку “NoReboot", и она не использует никаких недостатков на платформе iOS. Это означает, что Apple не может исправить это.


Как они это сделали

Итак, как вредоносная программа предотвращает фактическое выключение устройства, делая его похожим на то, что он делал для пользователей? В двух словах, исследователи перехватывают событие выключения на устройстве iOS. Это включает в себя введение нового кода в три демона—программы, которые работают в фоновом режиме и имеют свои собственные уникальные функции: InCallService, SpringBoard и Backboardd.



Три неотъемлемых демона iOS, которые вредоносная программа должна модифицировать, чтобы успешно подделать. (Источник: ZecOps)


InCallService отвечает за отправку сигнала “завершение работы” на SpringBoard, когда пользователь вручную выключает устройство iOS. Исследователи смогли перехватить этот сигнал с помощью процесса подсоединения. Поэтому вместо того, чтобы InCallService отправлял сигнал на трамплин, как это должно быть, вместо этого он сигнализирует трамплину и Backboardd для выполнения введенных в них кодов.


Код в SpringBoard говорит ему выйти, не запускать снова и реагировать только на длительное нажатие кнопки. Поскольку SpringBoard реагирует на взаимодействие и поведение пользователя, то, что демон не отвечает, создает впечатление, что устройство выключено, хотя на самом деле это не так.


Код в BackBoardd, с другой стороны, говорит ему скрыть анимацию вращающегося колеса, которая появляется, когда трамплин перестает работать.



Скриншот фрагментов кода, которые вводятся в SpringBoard и BackBoardd. (Источник: ZecOps)


На данный момент устройство iOS выглядит и ощущается как кирпич. Но обратите внимание, что он все еще в значительной степени включен, по-прежнему подключен к Интернету и по-прежнему имеет функциональные возможности, доступные для удаленного использования. Обратите внимание, что как только устройство iOS заражено NoReboot, оно начинает слежку с помощью камеры.


Точно так же, как имитируется выключение устройства, NoReboot также может имитировать запуск устройства. И демон BackBoardd играет в этом огромную роль. Поскольку SpringBoard больше не функционирует, Backboardd берет на себя управление экраном и реагирует на вводимые пользователем данные, включая длинные нажатия кнопок. Backboardd просят показать логотип Apple, известный индикатор того, что устройство iOS действительно было выключено, что заставляет пользователей отпустить кнопку и не позволить им по-настоящему перезагрузить устройство. Затем трамплин перезапускается, чтобы Backboardd мог вернуть свои права на управление экраном.


Вы можете подробнее прочитать о том, как работает NoReboot, в посте ZecOps здесь.


Видео-демонстрация НоРебута. (Источник: ZecOps)

“Эта штука включена?”

С тех пор как Apple представила функцию, которая позволяет владельцам устройств отслеживать свои телефоны, даже когда они выключены, ситуация никогда не была прежней. “Включено” остается включенным, в то время как “выключено” уже не совсем выключено. И это только дает злоумышленникам возможность позволить своим вредоносным ПРОГРАММАМ сохраняться на затронутых устройствах.


На данный момент NoReboot-это просто PoC, но его код уже общедоступен. Это только вопрос времени, когда злоумышленники iOS начнут включать это в свои наборы вредоносных программ. Тем не менее, давайте вооружимся тем, что мы можем сделать как пользователи на данный момент.


Если вы подозреваете, что ваше устройство скомпрометировано вредоносной программой, подобной NoReboot, вы можете продолжать нажимать кнопки принудительной перезагрузки после появления логотипа Apple. Помните, что это имитация перезагрузки, и нажатие кнопок перезагрузки приведет к тому, что зараженное устройство действительно перезагрузится. Владельцы устройств iOS также могут использовать конфигуратор Apple, который вы можете скачать бесплатно.


Будьте бдительны!


Источник.












Обсудить:

0 comments:

Всегда рады услышать ваше мнение!