Подпольный рынок кражи iPhone: фишинг, разблокировка, смишинг

Подпольный marketplacе для кражи и разблокировки iPhone: как работает новая схема cybercrime

Анализ выявил стремительно растущий подпольный marketplacе, который связан с кражей и разблокировкой high-end smartphones, прежде всего iPhone. Преступники используют как технические инструменты, так и методы social engineering, чтобы извлекать прибыль из украденных устройств и расширять собственную инфраструктуру для дальнейших атак.

Почему iPhone стали главной целью

Особенность этой схемы в том, что на последних моделях iPhone не зафиксировано публично известных уязвимостей, которые позволили бы злоумышленникам массово обходить защиту устройств. Поэтому основным инструментом атак становится обман — прежде всего smishing, то есть phishing через SMS.

Именно с помощью поддельных сообщений преступники пытаются убедить жертв раскрыть коды доступа и другие данные, необходимые для разблокировки смартфона. DNS-telemetry указывает на заметный рост активности smishing, ориентированного на пользователей iPhone.

От кражи устройства к продаже доступа

Изначально предполагалось, что воры интересуются данными, хранящимися на украденных телефонах. Однако анализ показывает: их главный ресурс — само hardware. Украденный смартфон становится не только объектом перепродажи, но и источником данных, которые затем используются в новых волнах мошенничества.

Это привело к появлению огромного числа fraudulent domains: ежегодно выявляется более 800 000 доменов, нацеленных на пользователей Apple. Они образуют взаимосвязанные кластеры phishing pages, которые нередко непреднамеренно раскрывают administrative portals, используемые самими злоумышленниками.

Telegram как центр преступной экосистемы

Ключевую роль в этой подпольной экономике играет Telegram. Через группы и каналы там распространяются услуги по разблокировке, а также продаются инструменты, позволяющие получать доступ к устройствам и извлекать конфиденциальную информацию для последующих smishing-кампаний.

Модель организована по принципу модульного сервиса: пользователи могут платить только за конкретные попытки разблокировки или за отправку smishing-ссылок. Это снижает порог входа и делает рынок доступным для менее технически подготовленных участников.

Что входит в набор инструментов

Экосистема предлагает не один универсальный инструмент, а целый набор решений, рассчитанных на разные этапы атаки.

• Windows application для jailbreak старых iPhone;
• инструменты для извлечения критически важных данных, включая серийные номера устройств и связанные Apple-аккаунты;
• скрипты и software для voice recording, имитирующие легитимные каналы поддержки;
• шаблоны smishing, адаптированные под разные mobile brands.

Такая модульность позволяет злоумышленникам быстро собирать персонализированные фишинговые сообщения. В результате жертва получает убедительно оформленную приманку и с большей вероятностью передает учетные данные, после чего аккаунт может быть быстро удален с привязанных устройств.

Масштаб сети и признаки координации

В ходе DNS-analysis было обнаружено более 10 000 связанных доменов, что указывает на хорошо организованную сеть. Эти ресурсы демонстрируют устойчивый рост вредоносного трафика, а значит, операция продолжает расширяться.

Дополнительный признак зрелости инфраструктуры — методы обхода обнаружения. Злоумышленники используют автоматические проверки через Google Safe Browsing, чтобы оценивать статус phishing domains, а затем подают ложные объяснения для снятия блокировок.

Как устроена схема уклонения от защиты

Преступники выстраивают многоуровневую модель, в которой цифровые и физические элементы тесно связаны между собой. Кража смартфона запускает цепочку действий: от попытки получить доступ к устройству до дальнейшего использования украденных данных в новых атаках.

В итоге формируется полноценная illicit marketplace с низким порогом входа, готовыми инструментами и сервисами, а также устойчивой инфраструктурой, которая позволяет масштабировать операции без значительных технических навыков.

«Комплексный характер этой подпольной экономики демонстрирует бесшовную интеграцию digital и physical theft», — следует из анализа.

Почему это опасно

Опасность этой схемы не ограничивается кибербезопасностью. Она создает и реальный физический риск, поскольку подпольный marketplacе стимулирует кражу устройств в реальном мире. Чем более доступными становятся инструменты разблокировки и smishing-шаблоны, тем выше вероятность новых инцидентов.

По мере развития этой незаконной экосистемы угроза будет только усиливаться: преступники получают не только прибыль от украденных смартфонов, но и постоянный источник данных для новых атак.