- Киберпреступники начали применять против iPhone коммерческое шпионское ПО уровня спецслужб, о чём 21 марта сообщил Axios со ссылкой на исследования Google, iVerify и Lookout.
- Речь идёт как минимум о двух наборах эксплойтов — Coruna и DarkSword, которые заражали устройства через поддельные сайты и атаки типа Watering Hole.
- Apple заявила, что уже закрыла основные уязвимости iOS и выпустила экстренное обновление для старых моделей iPhone; Safari также начал блокировать обнаруженные вредоносные URL.
Киберпреступные группы начали использовать для атак на iPhone коммерческое шпионское ПО, которое раньше связывали в основном с государственными заказчиками. О таких кампаниях сообщили исследователи Google, iVerify и Lookout, а Axios написал об этом 21 марта. Apple, по словам представителя компании Сары О’Рурк, уже устранила ключевые уязвимости iOS, на которые нацеливались эти инструменты, и выпустила срочное исправление для старых устройств.
Один из обнаруженных наборов получил название Coruna. По данным Google, это сложный комплект для взлома iPhone, который изначально создали для неназванного государственного клиента, а затем он оказался у китайской киберпреступной группы. В iVerify считают, что Coruna разработал американский оборонный подрядчик L3Harris и продал его правительству США. Для заражения злоумышленники размещали эксплойт на поддельных криптовалютных и финансовых сайтах: достаточно было открыть такую страницу с уязвимого iPhone.
На том же сервере исследователи нашли и второй комплект — DarkSword. Он заражал iPhone при посещении определённых сайтов по схеме Watering Hole, когда вредоносный код поджидает жертву на ресурсе, который та может посетить. В iVerify связали DarkSword с российской хакерской группой. После заражения инструмент мог получить почти полный доступ к содержимому устройства: сообщениям в iMessage, Telegram и WhatsApp, данным о местоположении, контактам, журналу звонков, истории браузера, настройкам Wi‑Fi и cookie.
Отдельную тревогу у исследователей вызвало то, что базовый JavaScript-код DarkSword хранился на сервере без шифрования. Это значит, что его могли копировать и адаптировать другие злоумышленники, даже без серьёзной собственной разработки. По словам Apple, Safari теперь блокирует вредоносные адреса, обнаруженные в ходе исследования Google. Режим повышенной защиты Lockdown Mode, как сообщается, смог полностью остановить Coruna и лишь частично помешал работе DarkSword.
Apple давно продвигает iPhone как устройства с усиленной защитой данных. При этом коммерческое шпионское ПО раньше уже использовали для слежки за журналистами, активистами и политиками, но теперь такие инструменты, судя по расследованию, стали доступнее и для обычных киберпреступников.
Пользователям iPhone имеет смысл как можно быстрее установить последние обновления iOS и быть осторожнее с переходами на финансовые и криптовалютные сайты из непроверенных источников. Для компаний это ещё один повод быстрее обновлять корпоративные смартфоны и включать дополнительные меры защиты на устройствах сотрудников.
