Una campagna di malware altamente mirato mira gli utenti di iPhone in India è stato portato alla luce da ricercatori di sicurezza Cisco Talos. La campagna è stata attiva da August 2015 ed è spiare 13 iPhone specifiche. Gli aggressori che sono stati più probabile che operano da India (sebbene posa come russi) sono stati sfruttando il protocollo MDM dei dispositivi.
Come sono stati i aggressori sfruttando il protocollo MDM?
Quest'ultimo è un pezzo di software di sicurezza che viene utilizzato da grandi aziende per monitorare i dispositivi dei dipendenti. Il protocollo MDM è stato utilizzato per distribuire le operazioni maligni dagli utenti remoti (gli attaccanti).
Come spiegato da Apple, MDM è stato progettato per Push Notification Service di Apple (APNS) per consegnare un messaggio d'allarme per un dispositivo gestito. Il dispositivo si collega poi a un servizio Web predeterminata per richiamare i comandi e restituire risultati.
Le aziende in grado di fornire il file di configurazione MDM via e-mail o tramite una pagina web per il cosiddetto servizio di iscrizione over-the-air con l'aiuto di di Apple Configurator. Una volta installato, il servizio consente agli amministratori aziendali di controllare in remoto il dispositivo e installare o rimuovere applicazioni, installare o revocare i certificati, bloccare il dispositivo, cambiare requisiti di password, tra le altre attività.
Non è ancora noto come gli hacker sono riusciti a attaccare il 13 iPhone mirate. come spiegato, il processo MDM iscrizione si basa su interazione dell'utente, e ricercatori sospettano che le tecniche di social engineering possono essere stati impiegati per ingannare gli utenti mirati.
E 'molto probabile che gli aggressori hanno utilizzato il servizio di MDM per installare in remoto versioni modificate di applicazioni legittime sulle iPhone mirati. Le applicazioni sono state progettate per spiare gli utenti e raccogliere la loro posizione in tempo reale, contatti, foto, e messaggi SMS e privati provenienti da applicazioni di messaggistica. Più specificamente, a leva applicazioni come WhatsApp telegramma aggressori hanno utilizzato il cosiddetto “tecnica sideloading BOptions,” che ha permesso loro di iniettare una libreria dinamica nelle applicazioni legittime.
“Tegli biblioteca iniezione può richiedere autorizzazioni aggiuntive, eseguire codice e rubare le informazioni dall'applicazione originale, tra le altre cose,” ricercatori Cisco Talos hanno spiegato nella loro relazione. Tutte le informazioni raccolte dal telegramma e WhatsApp è stato inviato a un server remoto.
Si deve notare che, al momento di avvolgere il rapporto, Apple aveva già revocato 3 certificati legati a questa campagna, con l'annullamento il resto dei certificati dopo Cisco Talos loro notificata l'attacco.