Не было никакой целевой направленности; простого посещения взломанного сайта хватало, чтобы сервер эксплойтов атаковал ваше устройство, и в случае успеха на него устанавливался инструмент мониторинга. По нашим оценкам, эти сайты посещают тысячи посетителей в неделю, — сообщил специалист Ян Бир.
Основная цель атаки — кража конфиденциальной информации и файлов, получение данных о местоположении в реальном времени, пишет News.ru. Инструмент запрашивал команды с сервера управления и контроля каждые 60 секунд. В некоторых атаках использовались так называемые эксплойты «нулевого дня». Они используют уязвимость, о которой не знает производитель.
Аналитики смогли обнаружить пять различных цепочек эксплойтов iPhone на основе 14 уязвимостей, охватывавших версии iOS от 10 до последней итерации 12. Google сообщил о находках Apple, и компания исправила их в феврале 2019 в iOS 12.1.4.
При этом Бир назвал инструмент нестабильным: если пользователь перезагружал устройство, то таким образом избавлялся от вредоносного ПО. Однако даже в этом случае злоумышленники всё равно могли иметь постоянный доступ к различным учётным записям и службам с помощью украденных токенов аутентификации.
По словам специалиста, атака потенциально может быть гораздо широкой по охвату из-за бесцельного характера, что указывает на то, что злоумышленники предпринимали постоянные попытки взломать пользователей iPhone в определенных сообществах в течение как минимум двух лет, сообщает Vice.