Исследователи Infoblox обнаружили подпольный рынок в Telegram с продажей инструментов для разблокировки украденных iPhone, фишинговых шаблонов, смишинг-инфраструктуры и сервисов для обмана владельцев устройств. Главная цель схем сводится не к данным на телефоне, а к самому аппарату. Заблокированный iPhone почти ничего не стоит на чёрном рынке, а разблокированную дорогую модель можно быстро перепродать за сотни долларов.
К теме специалисты Infoblox пришли почти случайно. Они помогали другу вернуть украденный iPhone и заметили SMS со ссылкой на поддельную страницу Apple Find My. На странице показывалась фальшивая карта с якобы движущимся устройством, а затем пользователю предлагали ввести пароль от телефона.

Интересно, что только в США ежегодно крадут более 7,35 млн iPhone, и подобный поток превратил рынок разблокировки в полноценную теневую индустрию.

Функция Activation Lock у Apple должна мешать монетизации украденных устройств. Владелец может заблокировать iPhone удалённо, а защита привязывает аппарат к Apple ID и делает перепродажу намного менее выгодной. Apple также развивает защиту отдельных компонентов.
Исследователи Infoblox сначала предполагали интерес воров к личным и корпоративным данным с устройств. Реальная картина оказалась другой. Для большинства участников рынка значимее быстрая разблокировка и продажа самого iPhone.
Фишинговая страница была оформлена под легитимный сервис Apple «Найти iPhone». Злоумышленники использовали контактную информацию из режима потерянных устройств. Человек сам оставляет номер или сообщение для возврата телефона, а преступники применяют эти данные для убедительной приманки.
Infoblox сообщает о ежегодном обнаружении более 800 тыс. доменов, похожих на домены Apple. После анализа DNS-характеристик фишингового ресурса специалисты нашли группу связанных страниц с имитацией Apple. Позже исследователи выявили более 10 тыс. доменов с подобной фишинговой инфраструктурой.
Telegram-группы предлагают целый набор услуг для работы с украденными телефонами:

разблокировка дорогих iPhone разных моделей;
сбор сведений об устройстве через инструменты;
создание поддельных страниц Apple под жертву;
проведение смишинг-кампаний по контактам владельца;
голосовые звонки с имитацией поддержки Apple;
продажа доступа к ботам для поиска данных.

Среди инструментов есть Windows-приложения для разблокировки старых моделей iPhone. Они могут автоматически взламывать устаревшие устройства и извлекать идентификационную информацию из подключённого телефона. Для новых моделей без публично известных уязвимостей упор делается на социальную инженерию.
Отдельно продаются сервисы «FMI OFF» и «iCloud Webkit» как наборы для фишинга и смишинговых атак. С их помощью преступники пытаются убедить законного владельца передать учётные данные Apple ID или пароль блокировки экрана. Название «FMI OFF» прямо указывает на цель отключить Find My iPhone.
Инструменты разблокировки могут извлекать серийные номера, страну первой активации и данные Apple-аккаунта. Подобная информация используется для создания правдоподобных сообщений с указанием деталей устройства, координат на карте, имени и языка интерфейса.

Разблокировка современного iPhone на подпольном рынке стоит от 5 до 50 долларов, а реальный zero-day для последних моделей iOS обошёлся бы атакующему в семизначные суммы.

Фишинг становится персонализированным. Сообщение получает человек с реально потерянным телефоном и сильным желанием его вернуть. Эмоциональное состояние жертвы играет на стороне преступников.
В арсенале продавцов есть инструменты голосовой социальной инженерии. Infoblox обнаружила скрипты, ПО для голосовых вызовов с использованием ИИ и заранее записанные аудио с имитацией службы поддержки Apple на разных языках.
Также используются боты для поиска сведений о владельце, проверки баз украденных учётных данных и определения местоположения устройств с iCloud. Подобная схема превращает разблокировку украденных телефонов в сервисную модель с разделением ролей участников.
Разработчики создают шаблоны не только под Apple, но и под Xiaomi, Samsung и другие бренды. В шаблоны добавляются разные персональные детали:

имя владельца устройства;
адрес электронной почты для уведомлений;
длина пароля для разблокировки экрана;
фальшивые координаты устройства на карте;
нужный язык интерфейса страницы.

Цены на подпольном рынке выглядят пугающе низкими. Разблокировка современного iPhone стоит от 5 до 50 долларов в зависимости от продавца, а средняя цена обычно ниже 10 долларов.

Публично не раскрыто уязвимостей для несанкционированного доступа к последним моделям iPhone или версиям iOS выше 17.0. Заявления о «волшебной» разблокировке новых моделей чаще всего сводятся к фишингу, обману владельца или продаже несуществующих возможностей.
Некоторые продавцы сами обманывают покупателей из криминальной среды через троянизированные версии инструментов или рекламу несуществующих zero-day уязвимостей. Дешёвые предложения почти наверняка построены на социальной инженерии.
Инфраструктура фишинговых кампаний развивается. Некоторые инструменты умеют определять DNS-блокировки и автоматически запрашивать удаление доменов из списков Google Safe Browsing.
Infoblox сообщает о росте DNS-телеметрии по подтверждённым доменам SMS-фишинга на 350% в 2025 году к предыдущему году. Подобный рост говорит о быстром масштабировании схемы.
Для владельцев iPhone главный риск возникает уже после кражи. Многие правильно переводят телефон в режим пропажи и оставляют контакт. Подобный контакт становится каналом атаки.
Минимальные правила безопасности после кражи устройства выглядят так:

не открывать ссылки из SMS о найденном телефоне;
не вводить пароль Apple ID на сторонних страницах;
проверять статус только через официальные сайты вручную;
быстро отзывать корпоративные доступы и токены;
сообщать в ИТ-службу о пропаже рабочего устройства.

Apple не просит вводить пароль блокировки экрана на сторонней странице и не требует передавать код через SMS-ссылку. Любая ссылка из SMS, мессенджера или письма после кражи телефона должна рассматриваться подозрительной.
Для компаний тема тоже значима. Украденный корпоративный iPhone становится точкой доступа к рабочей почте, мессенджерам, VPN, MDM-профилям, облачным документам и корпоративным приложениям.
Apple на уровне устройства многое сделала для снижения ценности украденных iPhone. Рынок в Telegram показывает переход преступников от грубого взлома к психологической обработке владельца. Техническая защита работает до момента ввода пользователем пароля на поддельной странице.
Ранее мы писали о работе OpenAI с MediaTek и Qualcomm над мобильным процессором для смартфона с искусственным интеллектом. При появлении подобных устройств к 2028 году вопрос защиты мобильного гаджета станет ещё чувствительнее.
Эксперты редакции CISOCLUB отмечают, что расследование Infoblox показывает разрушение защиты украденного смартфона не эксплойтами, а дешёвой социальной инженерией. По мнению редакции, подпольные Telegram-сервисы продают фишинговые страницы, SMS-шаблоны, ботов и голосовые инструменты дешевле 10 долларов за попытку.
Владелец сам становится целью после включения режима пропажи. Для пользователей и компаний главный урок прост. После кражи телефона нельзя доверять ни одной ссылке о «найденном iPhone», а корпоративные доступы нужно отзывать быстрее проведения преступниками смишинга. Чем дольше промедление, тем выше шанс на превращение телефона в инструмент атаки на рабочие сервисы компании.