Ваш iPhone – больше не крепость. Теперь его может взломать даже начинающий хакер с помощью нейросети

iPhone долго считался одним из самых защищённых смартфонов на рынке, но новая волна атак показывает, что спокойные времена закончились. Специалисты выяснили, что инструменты для скрытого взлома, которыми раньше в основном пользовались спецслужбы и силовые структуры, теперь оказались и в руках киберпреступников. Для владельцев iPhone новость неприятная: вредоносные программы способны незаметно вытягивать личные сообщения, фотографии, заметки и данные календаря.

За последний месяц сразу несколько команд, включая Google, iVerify и Lookout, нашли две кампании, которые использовали уязвимости iPhone. В начале месяца Google сообщила об обнаружении сложного набора средств для взлома iPhone под названием Coruna. Изначально Coruna создали для неназванного государственного заказчика, а позже инструмент попал к китайской киберпреступной группе. Позднее стало известно, что шпионскую программу для властей США разработал оборонный подрядчик L3Harris.

Злоумышленники распространяли Coruna через поддельные китайскоязычные площадки, связанные с криптовалютой и финансами. Достаточно было зайти на заражённый сайт с уязвимого iPhone, чтобы устройство скомпрометировали без нажатий и загрузок.

На том же сервере специалисты нашли ещё один комплект для взлома iPhone, получивший название DarkSword. По данным Google, инструмент заражал смартфоны сразу после посещения определённых сайтов, среди которых были украинские новостные и государственные ресурсы. Такой подход называют атакой через заражённые сайты, когда злоумышленники поджидают жертву на доверенной странице.

После заражения программа собирает почти всё содержимое смартфона: переписку из iMessage, WhatsApp и Telegram, данные о местоположении, список контактов, историю звонков, настройки Wi-Fi, историю браузера и файлы cookie.

Хотя DarkSword применяли против посетителей украинских сайтов, проблема оказалась шире. В Lookout рассказали, что разработчики оставили на сервере основной JavaScript-код в открытом виде. Из-за такого промаха даже не самые подготовленные киберпреступники могут скопировать инструмент и переделать под другие цели.

Apple заявила, что уже закрыла уязвимости, на которых строились атаки, в новых версиях iOS за последние годы. На прошлой неделе компания также выпустила внеплановое обновление для старых устройств, которые не поддерживают свежие версии системы. Кроме того, Safari теперь блокирует вредоносные адреса, найденные в ходе расследования Google.

Раньше подобные инструменты, основанные на редких и очень ценных уязвимостях iPhone, были доступны в основном богатым государственным заказчикам. Такие средства использовали для слежки за активистами, журналистами и иностранными политиками. Теперь барьер входа снизился: киберпреступные группы тоже получают доступ к таким разработкам, а круг возможных жертв быстро растёт.

Сооснователь iVerify Рокки Коул заявил, что рынок шпионского ПО разросся настолько сильно, что инструменты для взлома мобильных устройств стали гораздо доступнее. По его словам, теперь о такой угрозе приходится думать каждому владельцу iPhone.

На фоне новых находок особенно заметно, как меняется прежний образ iPhone как почти неприступного устройства. Apple по-прежнему говорит о многоуровневой защите и работе своих команд безопасности по всему миру, но недавние находки показывают, что даже такая экосистема уже не выглядит безусловно безопасной.

Отдельный интерес вызвала версия Lookout о том, что создатели DarkSword могли использовать большую языковую модель при разработке частей набора для взлома. Специалисты обратили внимание на названия некоторых файлов. Один из файлов, отвечавших за приём украденных данных, назывался буквально «DarkSword file receiver». По мнению Lookout, человек с серьёзной подготовкой в наступательной безопасности вряд ли оставил бы настолько прямолинейное имя.

Полной защиты от таких атак пока нет. В iVerify считают, что Режим Блокировки (Lockdown Mode) в случае DarkSword перекрыл бы только часть цепочки заражения, хотя против Coruna защита срабатывает полностью: программа прекращает работу, если режим включён. Специалисты советуют как можно быстрее устанавливать обновления iOS, включать Режим Блокировки и пользоваться сторонними средствами мобильной защиты. Проблема в том, что даже при такой осторожности обычный пользователь может не заметить заражение.