Une campagne très ciblée des programmes malveillants ciblant les utilisateurs d'iPhone en Inde a été mis au jour par des chercheurs de sécurité Cisco Talos. La campagne a été active depuis Août 2015 et espionne 13 iPhones spécifiques. Les assaillants qui ont été très probablement en exploitation de l'Inde (bien que les Russes se faisant passer pour) ont été exploitant le protocole de MDM des dispositifs.
Comment sont les auteurs du protocole Exploiter MDM?
Ce dernier est un logiciel de sécurité qui est utilisé par les grandes entreprises pour surveiller les appareils des employés. Le protocole de MDM a été utilisé pour déployer des opérations malveillantes par des utilisateurs distants (les attaquants).
Comme expliqué par Apple, MDM est conçu pour Apple service de notification push (APNS) pour délivrer un message de réveil à un périphérique géré. Le dispositif se connecte ensuite à un service Web prédéterminé pour récupérer des commandes et obtenir des résultats.
Les entreprises peuvent fournir le fichier de configuration MDM par courrier électronique ou par le biais d'une page Web pour la soi-disant over-the-air un service d'inscription à l'aide d'Apple Configurator. Une fois installé, le service permet aux administrateurs de l'entreprise de contrôler à distance l'appareil et installer ou supprimer des applications, installer ou révoquer des certificats, verrouiller le dispositif, modifier les exigences de mot de passe, entre autres activités.
On ignore encore comment les attaquants ont réussi à attaquer le 13 iPhones ciblés. comme expliqué, le processus d'inscription MDM est basée sur l'interaction de l'utilisateur, et les chercheurs soupçonnent que les techniques d'ingénierie sociale peuvent avoir été utilisés pour tromper les utilisateurs ciblés.
Il est très possible que les attaquants ont utilisé le service de MDM pour installer à distance des versions modifiées d'applications légitimes sur les iPhones ciblés. Les applications ont été conçues pour espionner les utilisateurs et récolter leur localisation en temps réel, contacts, Photos, et des messages SMS et privés des applications de messagerie. Plus précisement, à des applications telles que l'effet de levier des attaquants télégraphie et WhatsApp utilisé le soi-disant “BOptions technique de Sideloading,” qui leur a permis d'injecter une bibliothèque dynamique dans les applications légitimes.
“Til bibliothèque d'injection peut demander des autorisations supplémentaires, exécuter du code et de voler des informations de l'application originale, entre autres,” Cisco chercheurs Talos expliqué dans leur rapport. Toutes les informations récoltées à partir Telegram et WhatsApp a été envoyé à un serveur distant.
Il convient de noter que, au moment de l'emballage du rapport, Apple avait déjà révoqué 3 certificats liés à cette campagne, avec l'annulation du reste des certificats après Cisco Talos leur a notifié l'attaque.