Первая программа получила название XAgent (в базы занесена как iOS_XAgent.A). Вторая утилита, детектируемая как iOS_XAgent.B, маскируется под легальную программу MadCap. Оба приложения собирают персональные данные для последующей отправки злоумышленникам.
XAgent отправляет на командный сервер контакты, сообщения, метки геолокации, личные фотографии, текущий статус сети Wi-Fi, перечень активных процессов. Вирус также способен незаметно активировать запись разговора.
После инсталляции на устройство XAgent запускается в фоновом режиме, ярлык на рабочем столе при этом не создается. При попытке вручную завершить вредоносный процесс на iOS 7, он автоматически перезапускается. На iOS 8 перезапуск программы осуществляется вручную. Это позволило предположить, что создана вредоносная утилита была до выхода новой версии платформы.
Специалисты отметили, что XAgent может инсталлироваться как на официальную прошивку, так и на взломанное устройство. Второе приложение (MadCap) способно заражать только взломанные устройства. Основное предназначение – запись разговоров.
Специалистам Trend Micro пока не удалось выяснить, как XAgent и MadCap проникают на устройства. Вероятнее всего инсталляция происходит вручную. На устройства разработчиков и корпоративные устройства установка может осуществляться через прямую ссылку – в этом случае необязательно использование официального каталога.
Возможно, используются и другие схемы заражения. Например, в процессе подключения мобильного устройства к ПК на базе системы Windows (при помощи стандартного USB-кабеля).
В компании также добавили, что оба вредоносных инструмента используются в рамках Pawn Storm – операции кибершпионажа, направленной на государственные и промышленные объекты.
Напомним, в ноябре 2014 года эксперты обнаружили в платформе iOS серьезную уязвимость, которая позволяет выдавать вредоносные приложения за легальные. При этом уязвимость присутствовала даже на устройствах с официальной прошивкой.