Apple introduceerde in iOS 14 indicators die op de statusbalk verschijnen wanneer je camera of microfoon actief is. Zo weet je normaal gesproken dus als gebruiker wanneer een app je camera en/of microfoon aan het gebruiken is, maar experts hebben ervoor gewaarschuwd dat dit niet alle malware tegenhoudt om toegang te krijgen en dit op onzichtbare wijze te doen.
Spyware die is ontwikkeld door Intellexa en Cytrox, ook wel 'Predator' genoemd, kan zijn werk doen op iOS-apparaten zonder dat de gebruikers daarbij een indicatie krijgen van het gebruik van de camera of microfoon.
Zo vermijdt Predator de iOS-privacy-indicator
Deze malware maakt geen gebruik van een nieuwe kwetsbaarheid, maar vereist "simpelweg" toegang op kernelniveau om bij de systeemprocessen te kunnen komen.
Een nieuw onderzoek van Jamf Threat Labs heeft aangegeven hoe de spyware de iOS-indicator omzeilt door het SpringBoard-proces te 'hooken' en zich specifiek te richten op de '_handleNewDomainData:'-methode binnen de 'SBSensorActivityDataProvider'-klasse.
Deze hook zorgt er dus voor dat de sensorupdates onderschept worden voordat ze hun weg vinden naar de gebruikersinterface. Er verschijnen hierdoor dus geen groene of oranje indicators in beeld die je normaal wel ziet als je camera of microfoon in gebruik zijn. Er zijn eerder ook andere methodes uitgeprobeerd, maar dit bleek uiteindelijk efficiënter en onopvallender te zijn.
Predator bevat meerdere modules die zich met verschillende elementen van surveillance bezighouden, zoals de HiddenDot-module en de CameraEnabler-module. Die eerste module houdt dus de visuele indicators tegen en de tweede omzeilt de checks voor toestemming voor cameratoegang. Hierdoor kan de malware dus interne functies lokaliseren waar je normaal niet zomaar toegang toe krijgt en het uitvoeren hiervan verbergen op een manier waarbij de standaard iOS-veiligheidsalerts niet te zien zijn.
De spyware weet ook nog eens VoIP-audio in handen te krijgen via een speciale module. Deze module onderdrukt niet direct de microfoonindicators, maar gebruikt andere technieken om onopgemerkt te blijven.
Het design van Predator maakt detectie ook lastiger, omdat het code injecteert in belangrijke systeemprocessen zoals SpringBoard en mediaserverd. Er moet dus goed worden gelet op vreemd gedrag, zoals de creatie van onverwachte audiobestanden of sensoractiviteitsupdates die niet leiden tot notificaties, om erachter te komen dat deze malware actief is.
Predator toont hoe dit soort spyware met behulp van AI-tools en toegang op systeemniveau op een vrij verfijnde manier iOS-apparaten kan afluisteren. Voor gebruikers en veiligheidsteams is het dus belangrijk om op de hoogte te zijn van de technieken die Predator gebruikt en vervolgens goed te letten op subtiele afwijkingen bij de sensoractiviteit.
