С помощью возрастных ограничений злоумышленники скрывают легитимные приложения, заставляя жертв использовать вредоносные аналоги.
С помощью «родной» функции iOS злоумышленники прячут легитимные приложения, заставляя жертв использовать их вредоносные аналоги.
В ходе атаки, впервые раскрытой специалистами Cisco Talos в июле нынешнего года, используются пять вредоносных версий легитимных приложений (AppsSLoader, Telegram, WhatsApp, PrayTime и MyApp), предназначенных для похищения сообщений с iOS-устройств. Для ее осуществления злоумышленники используют систему управления мобильными устройствами (MDM) с открытым исходным кодом.
Поскольку процесс развертывания MDM требует участия пользователя на каждом этапе, исследователи сразу же предположили, что вредоносные приложения устанавливаются либо путем прямого доступа к скомпрометированным устройствам, либо с помощью сложных уловок социальной инженерии.
Как недавно обнаружили специалисты, решение MDM нужно злоумышленникам для управления устройством жертвы и создания на нем нового профиля. Далее с помощью легитимной функции iOS они устанавливают возрастные ограничения на использование определенных приложений и тем самым делают их невидными.
К примеру, для использования Telegram и WhatsApp человеку должно быть не менее 17 или 12 лет соответственно. Поэтому злоумышленники устанавливают на устройстве возрастные ограничения для детей до 9 лет. Приложения по-прежнему останутся на устройстве, но будут скрыты от глаз жертвы, поэтому она будет вынуждена воспользоваться вредоносными аналогами. Даже если жертва найдет легитимные приложения через функцию поиска, они не будут открываться.
iOS позволяет устанавливать для каждого профиля на устройстве отдельные настройки, и развертывание механизма MDM также происходит с использованием профиля. Профили очень легко создать с помощью официального инструмента от Apple.
Для упомянутых выше приложений возрастные ограничения могут использоваться, но только на устройствах с контролируемым режимом (supervised mode). Однако на атакованных устройствах контролируемый режим не был включен. Вместо этого злоумышленники включили функцию возрастного ограничения, запрещающего использование приложений детьми в возрасте до 9 лет. В созданном злоумышленниками профиле приложения оставались на устройстве, но их иконки исчезали с экрана.