Эксперты «Лаборатории Касперского» узнали, что киберпреступники собирали данные жертв в ходе целевой атаки на смартфоны iPhone от Apple с помощью специального шпионского импланта TriangleDB в памяти устройства. Исследование опубликовано в официальном блоге специалистов компании.
По версии исследователей, имплант загружается на устройства после того, как хакеры получают root-права в результате успешной эксплуатации уязвимости в ядре iOS.
«Имплант работает только в оперативной памяти, следовательно, все его следы теряются при перезагрузке устройства», — отметили эксперты.
По их словам, если жертва перезагружает устройство, то атакующим приходится перезаражать его. Для этих целей необходимо отправлять сообщение iMessage с вредоносным вложением и вновь инициировать всю цепочку заражения.
«Если же перезагрузки не происходит, то имплант работает на протяжении 30 дней и, если злоумышленники не продлевают этот срок, затем самоудаляется», — рассказали в «Лаборатории Касперского».
Специалисты уточнили, что имплант TriangleDB написан на языке программирования Objective-C. Также они вычислили, что имплант запрашивает набор прав у ОС. Некоторые из них не используются в коде, например, доступ к камере, микрофону, адресной книге или же взаимодействие через Bluetooth.
Днем 1 июня ФСБ России заявила, что несколько тысяч iPhone российских и зарубежных пользователей оказались заражены вредоносным ПО. В связи с этим в российской спецслужбе считают, что Apple сотрудничает с американской разведкой.
Вскоре информацию о вирусе в «айфонах» россиян подтвердили в «Лаборатории Касперского». По данным ИБ-компании, заражение происходит с помощью невидимого вложения внутри сообщения через сервис iMessage. Американская корпорация отрицает обвинения о связах с разведкой США.