Predator iOS minták visszafejtése
A Jamf egy iOS-eszközöket célzó Predator kémprogram reverse engineering elemzését ismerteti, amiben a kutatók több elkerülő mechanizmust azonosítottak, amelyekkel a rosszindulatú kód igyekszik elkerülni a biztonsági elemzők és védelmi eszközök észlelését. A Predator eredetileg a Google Threat Intelligence Group korábbi kutatásában került napvilágra, és most a Jamf Threat Labs saját vizsgálata további részleteket hozott felszínre ezekről a rejtett funkciókról.
A Predator tartalmaz egy belső hibakód-rendszert (301–311), amely a kémprogram futását felügyeli, és ha egy anti-elemzési feltétel teljesül, így ha például iOS fejlesztői mód, jailbreak környezet vagy biztonsági eszköz jelenléte érzékelhető, a rosszindulatú kód egy konkrét hibakódot küld a parancs-és-vezérlő szervernek, majd megszakítja a futását. Ez a megközelítés lehetővé teszi az üzemeltető számára, hogy pontosan tudja, miért nem sikerült a telepítés, ami gyakorlatilag diagnosztikai visszajelzést ad az implantátumról.
A Predator képes észlelni olyan körülményeket is, amelyek kutatói vagy védekezési eszközökhöz kapcsolódnak, beleértve hálózatfigyelő folyamatokat és más biztonsági szoftvereket, továbbá képes figyelni és elrejteni az iOS rendszerben megjelenő mikrofon- vagy kamera-használatot jelző indikátorokat, így a felhasználó számára észrevétlenül működhet.
A visszajelzésről szóló funkciók és az elemzés elkerülési technikák részletes vizsgálata rámutat arra, hogy az ilyen szintű kémprogramok nem csupán egyszerű kódok, hanem komplex mechanizmusokkal felvértezett implantátumok, amelyek célja a környezetük és a védelem állapotának felismerése és kiaknázása.
A Predator további részeiben a kutatók olyan vizsgálatokat is találtak, amelyek speciális iOS környezeti állapotokat, például fejlesztői módot vagy virtuális iOS elemzőplatformokat (Corellium-szerű környezeteket) érzékelnek, és ezek alapján döntik el, hogy folytatják-e a telepítést vagy kilépnek.
