для затравки:
Что говорит «Лаборатория Касперского»
По словам экспертов компании, они выявили подозрительную активность в собственной сети Wi-Fi. Атаку назвали «Операция Триангуляция».
Заражение происходило через сообщение в iMessage с приложенным файлом, содержащим эксплойт. Он активируется самостоятельно без необходимости действий пользователя. Сообщение автоматически удаляется после заражения.
Далее вредоносный код соединяется с сервером управления и последовательно загружает несколько «ступеней» вредоносной программы, включая дополнительные эксплойты для повышения привилегий. В итоге на iPhone оказывается платформа, способная собирать и отправлять данные. По крайней мере, это актуально до следующей перезагрузки. Прописаться в постоянной памяти устройства эксплойт не может из-за ограничений iOS.
Шпионское ПО незаметно передаёт информацию с гаджета жертвы на удалённый сервер. Речь про записи с микрофонов, фотографии из мессенджеров, геолокацию и сведения о других действиях владельца взломанного айфона. Волна заражений началась как минимум в 2019 году, эксплойт способен атаковать iOS 15.7 и более старые версии системы.
https://4pda.to/s/QMRwM8G9z2uIaEjJ7OABvPvkMoc36CRehz0kiI.jpg [Image access forbidden: 403] Атаку можно отследить по косвенным признакам:
Обращение к серверам, отвечающим за сервис iMessage; обычно это доменные имена *.ess.apple.com.
Загрузка вложения iMessage — соединение и входящий трафик с поддоменов .icloud-content.com, content.icloud.com.
Множественные соединения и значительный объём исходящего трафика на серверы управления вредоносной платформы. Как правило, при каждой попытке заражения используется пара доменов. Список выявленных доменов серверов:
addatamarket[.]net;
backuprabbit[.]com;
…
Дальше »»»