Специалисты из Jamf Threat Labs изучили новые образцы коммерческого шпионского ПО Predator и описали сложную цепочку атак, дающую операторам шанс обойти защиту iOS и закрепиться на уровне ядра системы.
Основа всего — механизм FDGuardNeonRW. Он позволяет читать и записывать данные прямо в память ядра, для чего используются векторные регистры NEON — часть процессора, предназначенная для параллельных вычислений. «Хищник» превращает эти регистры в скрытый канал передачи информации, и за один запрос атакующим удаётся получить более 500 байт данных, а запись подтверждается через проверку результата.
Зловреду приходится обходить защиту указателей, внедрённую в процессоры Apple начиная с модели iPhone XS, — он ищет нужный фрагмент кода прямо внутри системного компонента JavaScriptCore. И найденная последовательность инструкций является ключом к подделке подписей указателей и перенаправлению выполнения кода.
Второй важный элемент — механизм удалённого выполнения функций, который даёт возможность запускать код внутри других процессов, подменяя состояние потоков через системные сообщения. Таким образом управление автоматически возвращается к Predator, и операция может повторяться многократно.
Архитектура исследуемой программы разделена на несколько процессов: один отвечает за управление, другие — за слежку. Всё подкреплено механикой передачи прав доступа, «раздающей» допуск к ядру внутри заражённого устройства. Сама схема рассчитана на устройства с iOS ниже версии 17 — в более новых итерациях Apple изменила архитектуру управления памятью, что осложнило применение подобной техники.
.png)
.png)