Intellexa的間諜程式Predator吸引研究人員目光的原因,並非如何初始感染裝置,而是能夠隱藏iOS裝置的相機和咪高峰的使用顯示器,令裝置能夠秘密監視被感染的用戶。
Predator的運作方式
Predator原本由北馬其頓公司Cytrox開發,其後被Intellexa收購,該公司在塞浦路斯註冊,擁有者是前以色列情報官員,是真正的國際間的間諜遊戲。嚴格來說,Predator是間諜程式二人組中監控iOS和Android用戶的第二部份,第一部份Alien負責入侵裝置和安裝Predator,程式名字明顯是來自知名電影《Alien vs. Predator》。攻擊的第一步是典型含有惡意連結的訊息,受害者點擊連結會被帶到一個利用一系列瀏覽器和作業系統漏洞的網站,為免引起懷疑,用戶會然後被帶到一個合法網站。
除了Alien,Intellexa提供其他「運送」Predator到目標裝置的方法,包括Mars和Jupiter系統,安裝在服務供應方再透過中間人攻擊感染裝置。iOS的間諜程式Predator含有多種間諜工具,最值得注意是它能從裝置的相機和咪高峰記錄和傳送資料,為了防止用戶察覺可疑活動,必需關閉系統內建的錄製指示器,即是螢幕上方的綠色和橙色圓點。Predator的運作詳細資料可瀏覽這裡。
iOS相機和咪高峰指示器系統的運作
從2020年推出的iOS 14以來,Apple裝置會在使用咪高峰或相機顯以橙色或綠色燈提示用戶,如果兩者同時運行則只顯示綠燈。一如其他iOS界面元素,錄製提示器由名為SpringBoard的過程管理,專門負責裝置的系統UI,當應用程式開始使用相機或咪高峰,系統會記錄特定模組狀態的改變,這活動資料然後會被內部系統元件收集,再把資料交給SpringBoard處理,SpringBoard一旦收到相機或咪高峰啟動的訊息,便會因應該資料啟動綠色或橙色燈。
在應用程式的角度,程序以應用程式根據標準iOS權限機制,要求存取相機或咪高峰的權限,應用程式便要使用一部個合部模組,如果用戶批准權限,iOS啟動被要求的模組和自動更新狀態指示器,這些指示器被操作系統嚴格控制,第三方應用程式無法存取它們。
Predaotr如何干擾iOS和咪高峰指示器
資安研究人員對入手的Predator版本進行分析,揭開間諜程式製作者使用的多種用來繞過內建iOS機製和關閉錄製指示器的技術,第一種方法(似乎是早期開發階段使用)是惡意程式在SpringBoard收到相機或咪高峰的活動狀態訊息後,立即嘗試干擾提示器,不過開發者似乎認為這方法複雜又不可靠,所以只作為死程式碼保留在木馬程式中,而從未真正被執行。Predator最終選擇更簡單更有效率的方法,在系統接收關於相機或咪高峰的開關資料上運作,為達到目的,Predator攔截SpringBoard和特定負責收集活動資料的元件之間的通訊。
通過利用Objective-C(編寫SpringBoard應用程式的程式語言)的特定特性,惡意程式完全封鎖顯示相機或咪高峰已啟動的訊號,結果SpringBoard永遠接不到模組狀態改變的訊號,所以不會啟動錄製提示器。
如何降低被間諜程式感染的風險
Predator級別的間諜程式頗為昂貴,通常用於高風險的高業或國家支援的間諜活動,一方面也意味著防範這種高端威脅十分困難,要達至100%防護接近不可能,另一方面,也因為相同原因,一般用戶在統計學角度來看不太可能成為攻擊目標。然而,如果你相信自己可能會成為Predaotr或Pegasus級別間諜程式的目標,以下幾個步為營可以令攻擊者更難達到目的:
- 不要點擊來歷不明的可疑連結
- 定期更新操作系統、瀏覽器和通訊應用程式
- 偶爾重啟裝置,簡單的重啟經常能擺脫追蹤,迫使攻擊者重新感染裝置。
- 安裝可靠的保安方案
資料來源:Kaspersky Blog
