Eine sehr gezielte Malware-Kampagne Targeting iPhone-Nutzer in Indien wurde von Cisco Talos Sicherheitsexperten ausgegraben. Die Kampagne ist seit August aktiv 2015 und spioniert auf 13 spezifischer iPhones. Die Angreifer, die waren wahrscheinlich aus Indien Betrieb (obwohl, wie Russen aufwirft) das MDM-Protokoll der Geräte wurden die Nutzung.
Wie waren die Angreifer das MDM-Protokoll Ausnutzen?
Letzteres ist ein Stück Sicherheitssoftware, die von großen Unternehmen eingesetzt wird Mitarbeiter Geräte zu überwachen. Das MDM-Protokoll wird verwendet, um bösartige Operationen von Remote-Benutzern bereitstellen (die Angreifer).
Wie bereits erläutert von Apple, MDM ist mit dem Apple Push Notification Service entwickelt (APNS) eine Wake-up-Nachricht auf ein verwaltetes Gerät zu liefern. Das Gerät stellt dann eine Verbindung zu einer vorbestimmten Web-Service-Befehle abzurufen und das Rück Ergebnisse.
Unternehmen kann die MDM-Konfigurationsdatei per E-Mail liefern oder über eine Webseite für den so genannten Over-the-Air-Anmeldung Service mit Hilfe von Apple Configurator. Einmal installiert, der Service ermöglicht es Unternehmen admins das Gerät aus der Ferne zu steuern und installieren oder entfernen Apps, installieren oder den Widerruf von Zertifikaten, sperren die Vorrichtung, Passwort ändern Anforderungen, unter anderem Aktivitäten.
Es ist noch nicht bekannt, wie Angreifer beim Angriff auf das gelungen 13 gezieltere iPhones. Wie erklärt, MDM-Registrierungsprozess wird auf eine Benutzerinteraktion basierend, und Forscher vermuten, dass Social-Engineering-Techniken eingesetzt wurden, können die angesprochenen Nutzer auszutricksen.
Es ist sehr gut möglich, dass die Angreifer den MDM-Dienst verwendet, um remote modifizierte Versionen legitimer Apps auf den anvisierten iPhones zu installieren. Die Apps wurden entworfen, um auf Benutzer auszuspionieren und ernten ihre Echtzeit-Standort, Kontakte, Fotos, und SMS Nachrichten von Messaging-Anwendungen. Genauer, In den Hebel Anwendungen wie Telegramm und WhatsApp Angreifer die so genannte “BOptions sideloading Technik,” die ermöglichten sie eine dynamische Bibliothek in die legitimen Anwendungen zu injizieren.
“Ter Injektion Bibliothek kann für zusätzliche Berechtigungen fragen, Ausführen von Code und stehlen Informationen aus der ursprünglichen Anwendung, unter anderem,” Cisco Talos Forscher erklärt in ihrem Bericht. Alle geernteten Informationen von Telegramm und WhatsApp wurde an einen Remote-Server gesendet.
Es sollte den Bericht zum Zeitpunkt der Einwickeln beachtet werden, dass, Apple hatte bereits widerrufen 3 Zertifikate an dieser Kampagne verknüpft, den Rest der Zertifikate mit Cancelling nach Cisco Talos benachrichtigt sie des Angriffs.