インドのiPhoneユーザーを標的とした非常に標的を絞ったマルウェアキャンペーンがCiscoTalosのセキュリティ研究者によって発掘されました. キャンペーンは8月から実施されています 2015 スパイしている 13 特定のiPhone. インドから活動している可能性が最も高い攻撃者 (ロシア人を装っていますが) デバイスのMDMプロトコルを活用していました.
攻撃者はMDMプロトコルをどのように悪用していましたか?
後者は、大企業が従業員のデバイスを監視するために使用するセキュリティソフトウェアです。. MDMプロトコルは、リモートユーザーによる悪意のある操作を展開するために使用されています (攻撃者).
Appleが説明したように, MDMは、Appleプッシュ通知サービス向けに設計されています (APNS) 管理対象デバイスにウェイクアップメッセージを配信する. 次に、デバイスは所定のWebサービスに接続して、コマンドを取得し、結果を返します。.
企業は、Apple Configuratorを使用して、電子メールまたはいわゆる無線登録サービスのWebページを介してMDM構成ファイルを配信できます。. インストールしたら, このサービスにより、会社の管理者はデバイスをリモートで制御し、アプリをインストールまたは削除できます, 証明書をインストールまたは取り消す, デバイスをロックする, パスワード要件の変更, 他の活動の中で.
攻撃者がどのようにして攻撃に成功したかはまだ不明です。 13 ターゲットとするiPhone. 説明したように, MDM登録プロセスは、ユーザーの操作に基づいています, 研究者たちは、標的となるユーザーをだますためにソーシャルエンジニアリング手法が採用されたのではないかと疑っています。.
攻撃者がMDMサービスを使用して、正規のアプリの変更されたバージョンを対象のiPhoneにリモートでインストールした可能性が非常に高いです。. アプリは、ユーザーをスパイし、リアルタイムの場所を収集するように設計されています, 連絡先, 写真, メッセージングアプリからのSMSおよびプライベートメッセージ. すなわち, TelegramやWhatsAppなどのアプリを活用するために、攻撃者はいわゆる “BOptionsサイドローディング手法,” これにより、正規のアプリにダイナミックライブラリを挿入できるようになりました.
“Tインジェクションライブラリは追加の権限を要求できます, コードを実行し、元のアプリケーションから情報を盗む, とりわけ,” CiscoTalosの研究者はレポートで説明しました. TelegramとWhatsAppから収集されたすべての情報は、リモートサーバーに送信されました.
報告書のまとめの際に注意が必要です。, Appleはすでに取り消していた 3 このキャンペーンにリンクされている証明書, Cisco Talosが攻撃を通知した後、残りの証明書をキャンセルします.