- Predatorはユーザーの知識または同意なしにiOSカメラとマイクロフォンのインジケーターを乗っ取ります
- カーネルレベルのアクセスにより、Predatorが重要なiOSシステムプロセスにコードを注入することが可能になります
- Predatorはデバイスの継続的な監視を維持しながら、視覚的な記録インジケーターを抑制します
Appleは、カメラまたはマイクが有効な場合にユーザーに警告するためにiOS 14で色付きステータスバーのインジケーターを導入した可能性がありますが、専門家はこれがすべてのマルウェアを停止するわけではないと警告しています。
IntelexaとCytroxによって開発されたPredatorと呼ばれるスパイウェアは、カメラまたはマイクのインジケーターを表示することなく、侵害されたiOSデバイス上で動作することができます。
Predatorは、システムUIがセンサー活動更新を表示する前にそれを傍受することで、インジケーターを回避し、ユーザーが進行中の監視に気づかないようにします。
PredatorがiOSプライバシーインジケーターをバイパスする方法
このマルウェアは新しい脆弱性を悪用しません。システムプロセスをフックするには、以前に取得したカーネルレベルのアクセスが必要です。
Jamf Threat Labsからの新しい研究は、SpringBoardプロセスをフックすることでスパイウェアがiOSインジケーターをバイパスする方法を説明しており、特にSBSensorActivityDataProviderクラス内の_handleNewDomainData:メソッドをターゲットにしています。
この単一のフックは、センサー更新をUIに渡す責任を持つオブジェクトを無効にし、カメラまたはマイクが使用中に緑色またはオレンジ色のドットが表示されるのを防ぎます。
SBRecordingIndicatorManagerへの直接フックを含む以前の方法は、より効率的で検出されにくいこの上流傍受に置き換わりました。
Predatorはは、HiddenDotモジュールやCameraEnablerモジュールなど、監視のさまざまな側面を処理する複数のモジュールを含んでいます。
前者が視覚的インジケーターを抑制する一方で、後者はARM64命令パターンマッチングとポインター認証コード(PAC)リダイレクションを使用してカメラの権限チェックをバイパスします。
これにより、マルウェアは公開されていない内部関数を特定し、標準的なiOSセキュリティアラートをトリガーすることなく実行をリダイレクトできます。
スパイウェアは、別のモジュールを通じてVoIPオーディオもキャプチャします。HiddenDotとは異なり、VoIP記録モジュールはマイクロフォンのインジケーターを直接抑制せず、ステルス技術に頼って気づかれないようにします。
これらのモジュールは、オーディオデータを異常なパスに書き込み、システムプロセスを操作でき、標準的な検出アプローチが困難になります。
Predatorの設計は、SpringBoardやmediaserverdなどの重要なシステムプロセスにコードを注入するため、検出を複雑にします。
従来のインラインフックではなくMach例外ベースのフックに依存しているため、典型的なエンドポイント保護とファイアウォールソフトウェアは悪意のある活動を検出するのに不十分です。
予期しないオーディオファイルの作成やUIの通知をトリガーできないセンサー活動の更新など、行動指標は、防御者が監視する必要がある重要な兆候です。
システムプロセスのメモリマッピング、例外ポート、スレッド状態の変化を観察することで、侵害の兆候を明らかにすることもできます。
Predatorは、商用スパイウェアがAIツールとシステムレベルのアクセスを使用してiOSデバイスで高度な監視を実行する方法を示しています。
ユーザーとセキュリティチームは、Predatorが使用する永続性技術を理解し、センサー活動の微妙な異常についてデバイスを監視する必要があります。
