iPhone na celowniku cyberprzestępców. Spyware klasy rządowej trafia w ręce gangów
Nowe analizy pokazują, że zaawansowane narzędzia do infekowania iPhone’ów, dotąd kojarzone głównie ze służbami i kontraktorami rządowymi, są dziś wykorzystywane przez grupy cyberprzestępcze. Skala zagrożenia rośnie, a bariera wejścia wyraźnie maleje.
Badacze z Google, iVerify i Lookout ujawnili dwie kampanie wykorzystujące luki w iOS.
Pierwsza dotyczy narzędzia Coruna – stworzonego pierwotnie dla klienta rządowego (według TechCrunch przez L3Harris). Ostatecznie toolkit trafił w ręce chińskiej grupy przestępczej i był wykorzystywany na fałszywych stronach finansowych i krypto.
Drugi zestaw – DarkSword – służył do ataków typu „watering hole”. Infekował urządzenia użytkowników odwiedzających wybrane strony (m.in. ukraińskie serwisy informacyjne i rządowe) bez potrzeby klikania czy pobierania plików.
Co wykrada DarkSword?
Po skutecznej infekcji możliwa była szeroka eksfiltracja danych:
- wiadomości (iMessage, WhatsApp, Telegram),
- lokalizacja, kontakty, historia połączeń,
- konfiguracje Wi-Fi, historia przeglądania, pliki cookie.
Co istotne, część kodu pozostawiono w formie umożliwiającej jego łatwe skopiowanie i ponowne wykorzystanie.
Reakcja producenta
Apple poinformowało, że wykorzystywane luki zostały załatane w nowszych wersjach iOS, a starsze urządzenia otrzymały poprawki bezpieczeństwa. Safari blokuje też zidentyfikowane złośliwe domeny.
Szerszy trend: komercjalizacja exploitów
Jeszcze niedawno dostęp do tego typu narzędzi był zarezerwowany dla państw i wyspecjalizowanych firm spyware. Dziś, według badaczy, ekosystem komercyjnych exploitów sprawia, że podobne możliwości trafiają do cyberprzestępców.
W praktyce oznacza to jedno: bezpieczeństwo iPhone’a nadal stoi na wysokim poziomie, ale nie jest absolutne. Aktualizacje systemu, Lockdown Mode i dodatkowe narzędzia ochronne to minimum, choć przy atakach typu watering hole możliwości wykrycia infekcji przez użytkownika są ograniczone.
