- Predator membajak indikator kamera dan mikrofon iOS tanpa sepengetahuan atau persetujuan pengguna
- Akses tingkat kernel memungkinkan Predator untuk memasukkan kode ke dalam proses sistem iOS yang penting
- Predator menekan indikator perekaman visual sambil terus memantau perangkat
Apel mungkin telah memperkenalkan indikator bilah status berwarna di iOS 14 untuk memperingatkan pengguna ketika kamera atau mikrofon aktif, namun para ahli telah memperingatkan bahwa hal ini tidak menghentikan semua malware.
Spyware yang dikembangkan oleh Intellexa dan Cytrox, dijuluki Predator, dapat beroperasi pada perangkat iOS yang disusupi tanpa menampilkan indikator kamera atau mikrofon apa pun.
Predator melewati indikator tersebut dengan mencegat pembaruan aktivitas sensor sebelum UI sistem menampilkannya, sehingga pengguna tidak mengetahui adanya pengawasan yang sedang berlangsung.
Bagaimana Predator melewati indikator privasi iOS
Malware ini tidak mengeksploitasi kerentanan baru, melainkan memerlukan akses tingkat kernel yang diperoleh sebelumnya untuk menghubungkan proses sistem.
Penelitian baru dari Lab Ancaman Jamf telah menguraikan bagaimana spyware melewati indikator iOS dengan mengaitkan proses SpringBoard, secara khusus menargetkan metode _handleNewDomainData: di dalam kelas SBSensorActivityDataProvider.
Kait tunggal ini membatalkan objek yang bertanggung jawab meneruskan pembaruan sensor ke UI, mencegah titik hijau atau oranye muncul saat kamera atau mikrofon sedang digunakan.
Metode sebelumnya, termasuk kaitan langsung ke SBRecordingIndicatorManager, ditinggalkan demi intersepsi hulu ini, yang lebih efisien dan kurang terdeteksi.
Predator berisi beberapa modul yang menangani berbagai aspek pengawasan, seperti modul HiddenDot dan modul CameraEnabler.
Meskipun yang pertama menyembunyikan indikator visual, yang terakhir melewati pemeriksaan izin kamera menggunakan pencocokan pola instruksi ARM64 dan pengalihan Kode Otentikasi Penunjuk, PAC.
Hal ini memungkinkan malware menemukan fungsi internal yang tidak diekspos secara publik dan mengalihkan eksekusi tanpa memicu peringatan keamanan standar iOS.
Spyware juga menangkap audio VoIP melalui modul terpisah. Tidak seperti HiddenDot, modul perekaman VoIP tidak secara langsung menekan indikator mikrofon, melainkan mengandalkan teknik sembunyi-sembunyi agar tidak diketahui.
Modul ini dapat menulis data audio ke jalur yang tidak biasa dan memanipulasi proses sistem, sehingga membuat pendekatan deteksi standar menjadi sulit.
Desain Predator mempersulit pendeteksian karena ia memasukkan kode ke dalam proses sistem penting seperti SpringBoard dan mediaserverd.
Ini bergantung pada kait berbasis pengecualian Mach daripada kait inline konvensional, yang menjadikannya tipikal perlindungan titik akhir Dan perangkat lunak firewall tidak cukup untuk mendeteksi aktivitas berbahaya.
Indikator perilaku, seperti pembuatan file audio yang tidak terduga atau pembaruan aktivitas sensor yang gagal memicu notifikasi UI, merupakan tanda-tanda utama yang harus dipantau oleh para pembela HAM.
Mengamati pemetaan memori, port pengecualian, dan perubahan status thread dalam proses sistem juga dapat mengungkapkan tanda-tanda kompromi.
Predator menunjukkan bagaimana spyware komersial dapat digunakan alat AI dan akses tingkat sistem untuk melakukan pengawasan canggih pada perangkat iOS.
Pengguna dan tim keamanan harus memahami teknik persistensi yang digunakan Predator dan memantau perangkat untuk mendeteksi anomali halus dalam aktivitas sensor.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
