Как проверить iPhone на вирус «Операция Триангуляция», которым взламывают айфоны в России
Лаборатория Касперского выпустила инструкцию, которая позволяет проверить свой iPhone на наличие вируса Triangulation.
Он устанавливается через iMessage и передает пользовательские данные на сервера злоумышленников.
Определить наличие вируса можно только в резервной копии iPhone. Её можно создать через Finder, iTunes или idevicebackup2. Лучше сразу создавать не зашифрованную резервную копию, чтобы потом не тратить время на расшифровку бекапа.
Для дальнейшей работы необходимо установить Python 3 и утилиту Mobile Verification Toolkit (MVT).
▪️ На Mac MVT устанавливается через Терминал и команду pip3 install mvt
▪️ На Windows MVT устанавливается через Командную строку и команду pip3 install mvt
После установки MVT необходимо обработать через нее резервную копию iOS. Для этого нужно прописать команду:
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory
В папке mvt_output_directory появится несколько файлов формата JSON и CSV. Нас интересует timeline.csv.
Как обнаружить вирус Triangulation
1. Откройте файл timeline.csv в TextEdit или Блокноте
2. С помощью поиска по документу (CMD ⌘ + F) найдите упоминание процесса BackupAgent
3. Чаще всего, упоминание BackupAgent предваряется строками с упоминанием процесса IMTransferAgent, который отвечает за скачивание вложений (в данном случае, с эксплойтом)
2022-09-13 10:04:11.890351Z Datausage IMTransferAgent/com.apple.datausage.messages (Bundle ID: com.apple.datausage.messages, ID: 127) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 76281896.0, WWAN OUT: 100956502.0
2022-09-13 10:04:54.000000Z Manifest Library/SMS/Attachments/65/05 - MediaDomain
2022-09-13 10:05:14.744570Z Datausage BackupAgent (Bundle ID: , ID: 710) WIFI IN: 0.0, WIFI OUT: 0.0 - WWAN IN: 734459.0, WWAN OUT: 287912.0
4. Также рядом с этими данными будет информация об изменениях директории Library/SMS/Attachments
Если вы обнаружили похожие данные, то ваш iPhone может быть взломан. В таком случае об этом лучше сообщить в Лабораторию Касперского по адресу [email protected], которая занимается изучением этого вируса.
