Вредоносная кампания является примером зачастую недооцененных атак на iPhone, в ходе которых на них устанавливаются профили MDM.
Хакеры пытаются обманом заставить владельцев iPhone установить поддельное приложение WhatsApp с целью хищения их данных. Как показал проведенный специалистами Citizen Lab и Motherboard технический анализ приложения, к созданию вредоносной подделки имеет отношение итальянский производитель инструментов для сбора информации, предназначенных для спецслужб и правоохранительных органов.
Вредоносная кампания является примером зачастую недооцененных атак на iPhone, в ходе которых злоумышленники вынуждают жертв устанавливать на свои устройства конфигурационные файлы или так называемые профили Mobile Device Management (MDM). Поскольку стоимость эксплоитов для взлома iPhone неуклонно растет, для взлома телефонов поставщики правительственного вредоносного ПО все чаще используют MDM-профили.
Первыми атаку на пользователей WhatsApp обнаружили специалисты компании ZecOps. Они опубликовали связанные с инцидентом домен (config5-dati[.]com) и IP-адреса. Исследователи Citizen Lab Билл Марчак (Bill Marczak) и Бахр Абдул Раззак (Bahr Abdul Razzak) изучили домен и выявили еще несколько связанных с ним доменов.
Один из обнаруженных доменов служил хостингом для сайта, с которого загружалось поддельное приложение WhatsApp. На самом деле с сайта загружался особый конфигурационный профиль для iPhone, собиравший данные с телефона и отправлявший их хакерам.
Как пояснил Марчак, загрузка MDM-файла является только частью процесса инсталляции поддельной версии WhatsApp, содержащей шпионское ПО. Однако исследователям Citizen Lab не удалось собрать данные на втором этапе атаки. Другими словами, к каким еще данным на устройстве хакеры получают доступ на втором этапе атаки, специалистам выяснить не удалось. Также не удалось установить, на кого была нацелена вредоносная кампания. По мнению Марчака, вероятнее всего, атаки являются целенаправленными и направлены на узкий круг избранных жертв.
Изучив обнаруженные Citizen Lab домены, специалисты Motherboard нашли второй связанный с ними кластер доменов, а затем третий. Один домен из третьего кластера, check3[.]it, был зарегистрирован компанией «cy4gate srl», имеющей, согласно WHOIS, итальянский адрес.
Cy4Gate позиционирует себя как производителя инструментов для «киберэлектронной борьбы и разведки». Компания производит несколько продуктов, в том числе Epeius – инструмент для «законного перехвата» данных. В 2017 году Cy4gate представляла свои продукты комитету Сената Италии, а в прошлом году должна была стать разработчиком приложения для отслеживания заражений COVID-19, но в конечном итоге итальянское правительство передало заказ другой компании. Cy4gate является частью итальянского оборонного подрядчика Elettronica.
Помимо прочего, сертификат для шифрования, использующийся одним из IP-адресов, связанных с доменом, отображающим фишинговую страницу для загрузки поддельного приложения WhatsApp, упоминает название Epeius. Исследователи Citizen Lab также обнаружили, что один из доменов (config-1dati [.] com) в определенный момент возвращал страницу авторизации с логотипом Cy4gate и названием Epeius.
Ладно, не доказали. Но мы работаем над этим