ウイルス対策プロバイダーのカスペルスキーは、iOS 15.7 までを実行している iPhone への感染を明示的に目的としたマルウェア キャンペーンを発見しました。iメッセージ— しかし、それを見つけて防ぐことはできます。
カスペルスキーのチーム特定された複数の iOS デバイスから発せられる潜在的に不審な動作。ただし、iOS デバイスの内部検査を直接行うことはセキュリティ上の制限により制限されているため、同社はオフライン バックアップを作成する必要がありました。
これらのバックアップは、mvt-ios(iOS 用モバイル検証ツールキット)、その結果、侵害を示す指標が特定されます。この攻撃は、標的となった iOS デバイスが iMessage プラットフォームを通じてメッセージを受信したときに発生します。
メッセージにはエクスプロイトを含む添付ファイルが含まれています。このエクスプロイトは、ゼロクリック メカニズムとして明示的に作成されており、システム内の脆弱性を引き起こし、ユーザーの介入を必要とせずに悪意のあるコードの実行を可能にします。
その後、このエクスプロイトはコマンド アンド コントロール (C&C) サーバーから追加フェーズの取得を開始します。これらのフェーズには、特権を昇格するために特別に考案されたさらに多くのエクスプロイトが含まれています。
悪用プロセスが成功すると、包括的な APT (Advanced Persistent Threat) プラットフォームが C&C サーバーからダウンロードされ、デバイスとユーザーのデータに対する絶対的な制御が確立されます。この攻撃は最初のメッセージを根絶し、添付ファイルを悪用してその秘密の性質を維持します。
興味深いことに、悪意のあるツールキットは永続的ではなく、iOS 環境の制限が制約要因である可能性があることを示しています。ただし、デバイスは再起動時に別の攻撃によって再感染する可能性があります。
さらに、カスペルスキーは、この攻撃が 2023 年 6 月の時点で iOS バージョン 15.7 までを実行しているデバイスに影響を及ぼしていることを示唆しました。それにもかかわらず、この攻撃が古いバージョンの iOS で発見されたばかりのゼロデイ脆弱性を悪用しているかどうかは依然として不明です。
攻撃ベクトルの全範囲と規模はまだ調査中です。
自分を守る方法
カスペルスキーのチームは、root 権限で動作するマルウェアの最終的なペイロードについて継続的な調査を行っています。この悪意のあるソフトウェアは、システム データとユーザー データの両方を収集し、C&C サーバーからプラグイン モジュールとしてダウンロードされた任意のコードを実行する機能を備えています。
ただし、デバイスが侵害されたかどうかを確実に特定することは可能だという。さらに、以前のデバイスからユーザー データを移行して新しいデバイスをセットアップすると、そのデバイスの iTunes バックアップには、両方のデバイスで発生した侵害の痕跡が正確なタイムスタンプとともに保持されます。
Kaspersky のブログ投稿では、iOS デバイスがマルウェアに感染しているかどうかを判断するための包括的なガイドラインを提供しています。このプロセスでは、ターミナル コマンド ライン アプリケーションを利用してソフトウェアをインストールし、マルウェアが存在する兆候がないか特定のファイルを検査する必要があります。
- コマンド「」を使用して、idevicebackup2 でバックアップを作成します。idevicebackup2 バックアップ - フル $backup_directory。」
- 次に、コマンド「」を使用して MVT をインストールします。pip インストールMVT。」
- その後、ユーザーはコマンド「」を使用してバックアップを検査できます。mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory。」
- 最後に、timeline.csv ファイルで、「」という名前のプロセスについて言及しているデータ使用量の行を含むインジケーターを確認します。バックアップエージェント。」
この特定のバイナリは非推奨とみなされ、通常は通常の操作中にデバイスの使用タイムラインに存在すべきではありません。
これらの手順には一定レベルの技術的専門知識が必要であり、知識のあるユーザーのみが実行する必要があることに注意することが重要です。 iOS 16 に更新することが、自分自身を守るための最良かつ最も簡単な方法です。
