Una campaña de malware muy dirigido contra los usuarios de iPhone en la India ha sido descubierto por los investigadores de seguridad de Cisco Talos. La campaña ha estado activo desde agosto 2015 y está espiando 13 iPhones específicos. Los atacantes que fueron más probable es que operan desde la India (A pesar de que se hacen pasar por los rusos) fueron aprovechando el protocolo MDM de los dispositivos.
¿Cómo eran los atacantes explotando el Protocolo MDM?
Esta última es una pieza de software de seguridad que es utilizado por las grandes empresas para supervisar los dispositivos de los empleados. El protocolo MDM se ha utilizado para desplegar operaciones por usuarios remotos maliciosos (los atacantes).
Como se explica por Apple, MDM está diseñada para el Apple Push Notification Service (APN) para entregar un mensaje de alerta a un dispositivo gestionado. El dispositivo se conecta a un servicio web predeterminado para recuperar los comandos y devolver resultados.
Las empresas pueden entregar el fichero de configuración MDM a través de correo electrónico oa través de una página web para el denominado servicio de inscripción de sobre-el-aire con la ayuda de de Apple Configurator. Una vez instalado, el servicio permite a los administradores de la empresa para controlar de forma remota el dispositivo e instalar o eliminar aplicaciones, instalar o revocar certificados, bloquear el dispositivo, cambiar los requisitos de contraseña, entre otras actividades.
Todavía no se sabe cómo los atacantes lograron atacar el 13 iPhones específicas. Como se explica, el proceso de inscripción MDM se basa en la interacción del usuario, y los investigadores sospechan que las técnicas de ingeniería social pueden haber sido empleados para engañar a los usuarios de destino.
Es muy posible que los atacantes utilizaron el servicio MDM para instalar de forma remota versiones modificadas de aplicaciones legítimas en los iPhones dirigidos. Las aplicaciones fueron diseñadas para espiar a los usuarios y cosechar su localización en tiempo real, contactos, fotos, y SMS y mensajes privados de aplicaciones de mensajería. Más específicamente, a apalancamiento aplicaciones tales como el telegrama y el WhatsApp atacantes utilizaron los llamados- “técnica de carga lateral BOptions,” lo que les permitió inyectar una biblioteca dinámica en las aplicaciones legítimas.
“Tque la biblioteca de inyección puede pedir permisos adicionales, ejecutar código y robar información de la solicitud original, entre otras cosas,” Cisco investigadores Talos explican en su informe. Toda la información recolectada a partir de telegramas y WhatsApp se envía a un servidor remoto.
Cabe señalar que en el momento de concluir el informe, Apple ya había revocado 3 certificados vinculados a esta campaña, con la cancelación del resto de los certificados después de Cisco Talos les notificó del ataque.