Een zeer gerichte malware-campagne voor iPhone-gebruikers in India werd opgegraven door Cisco Talos security onderzoekers. De campagne is actief sinds augustus 2015 en bespioneren 13 specifieke iPhones. De aanvallers die het meest waarschijnlijk opereerden vanuit India (Hoewel voordoen als russen) werden gebruikmakend van de MDM protocol van de inrichtingen.
Hoe zijn de Aanvallers Benutting van het MDM Protocol?
Dit laatste is een stuk van de beveiligingssoftware die wordt gebruikt door grote bedrijven om werknemers apparaten controleren. MDM protocol is gebruikt om schadelijke bewerkingen implementeert externe gebruikers (de aanvallers).
Zoals uitgelegd door Apple, MDM is ontworpen om de Apple Push Notification Service (APNS) om een wake-up boodschap aan een beheerd apparaat. Het apparaat maakt vervolgens verbinding met een vooraf bepaalde webservice om commando's op te halen en de resultaten terug te keren.
Bedrijven kunnen de MDM configuratiebestand leveren via e-mail of via een webpagina voor de zogenaamde over-the-air inschrijving service met de hulp van Apple Configurator. Eenmaal geïnstalleerd, de dienst laat bedrijf admins op afstand bedienen van het apparaat en het installeren of verwijderen van apps, installeren of certificaten in te trekken, het apparaat vergrendelen, wachtwoord wijzigen eisen, onder andere activiteiten.
Het is nog onbekend hoe aanvallers in de aanval op de geslaagd 13 gerichte iPhones. Zoals uitgelegd, MDM inschrijving proces is gebaseerd op interactie van de gebruiker, en onderzoekers vermoeden dat social engineering-technieken kunnen zijn gebruikt om de beoogde gebruikers te misleiden.
Het is heel goed mogelijk dat de aanvallers gebruikten de MDM dienst op afstand te installeren aangepaste versies van de legitieme apps op de beoogde iPhones. De apps zijn ontworpen om te spioneren op de gebruikers en de oogst van hun real-time locatie, contacten, foto's, en SMS-en private berichten van messaging-apps. Specifieker, om leverage apps zoals Telegram en WhatsApp aanvallers gebruikten de zogenaamde “BOptions sideloading techniek,” die hen in staat stelde om een dynamische bibliotheek te injecteren in de legitieme apps.
“Thij injectie bibliotheek kan vragen om aanvullende machtigingen, code uitvoeren en stelen informatie van de oorspronkelijke aanvraag, onder andere,” Cisco Talos onderzoekers verklaren in hun rapport. Alle geoogste nieuwste Telegram en WhatsApp werd naar een externe server.
Opgemerkt dient te worden dat op het moment van het inpakken van het rapport, Apple had al ingetrokken 3 certificaten gekoppeld aan deze campagne, met het annuleren van de rest van de certificaten na Cisco Talos meegedeeld ze van de aanval.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: