ZecOps ha creato un nuovo modo per imitare il riavvio o lo spegnimento dell’iPhone per impedire l’ineficaccia del malware, consentendo ai criminali di monitorare la vittima in modo discreto tramite microfono e fotocamera.
Nella maggior parte dei casi, riavviare un dispositivo iOS è tutto ciò che è necessario per arrestare il malware. L’approccio ideato dagli esperti ZecOps consente di intercettare i processi di riavvio e arresto e prevenirne il verificarsi. Poiché il virus non si spegne mai veramente, guadagna persistenza sulla macchina.
Apple non è in grado di offrire una soluzione poiché l’assalto, nome in codice NoReboot, non richiede lo sfruttamento di una vulnerabilità.
Lo schermo si oscura quando l’iPhone viene spento, la fotocamera si spegne, la pressione prolungata non funziona, la suoneria e i rumori di notifica svaniscono e il telefono non vibra. ZecOps ha creato un Trojan proof-of-concept che inietta codice specifico in tre servizi iOS, simulando l’arresto disattivando tutti questi segnali.
Intercettando il segnale dal programma SpringBoard, responsabile dell’interfacciamento con l’esperienza utente, il Trojan intercetta l’evento di spegnimento. Invece di inviare il segnale desiderato, il Trojan invia un codice a SpingBoard che lo fa smettere di reagire alle azioni dell’utente. L’iPhone sembra spento.
Al demone BackBoardd, che monitora le pressioni dei pulsanti fisici e i tocchi dello schermo con timestamp, viene quindi detto di mostrare una ruota che gira quando il dispositivo è spento. L’utente crede che l’iPhone si sia spento e rilascia il pulsante con swipe laterale appena prima che inizi il processo di spegnimento, ma il processo di spegnimento non inizierà mai.
ZecOps ha anche condiviso un video, che allego qui al termine dell’articolo, nel quale si mostra NoReboot in azione: