Uma campanha de malware altamente direcionado visando os usuários do iPhone na Índia foi descoberta por pesquisadores de segurança Cisco Talos. A campanha tem sido ativo desde agosto 2015 e está espionando 13 iPhones específicos. Os atacantes que provavelmente estavam operando da Índia (embora posando como russos) estavam aproveitando o protocolo MDM dos dispositivos.
Como os invasores estavam explorando o protocolo MDM?
Este último é um software de segurança usado por grandes empresas para monitorar dispositivos de funcionários. O protocolo MDM foi usado para implantar operações maliciosas por usuários remotos (os atacantes).
Conforme explicado pela Apple, O MDM foi desenvolvido para o Apple Push Notification Service (APNS) para entregar uma mensagem de ativação a um dispositivo gerenciado. O dispositivo então se conecta a um serviço web predeterminado para recuperar comandos e retornar resultados.
As empresas podem entregar o arquivo de configuração do MDM por e-mail ou por meio de uma página da Web para o chamado serviço de inscrição pelo ar com a ajuda do Apple Configurator. Uma vez instalado, o serviço permite que os administradores da empresa controlem remotamente o dispositivo e instalem ou removam aplicativos, instalar ou revogar certificados, bloquear o dispositivo, alterar requisitos de senha, entre outras atividades.
Ainda não se sabe como os atacantes conseguiram atacar o 13 iPhones segmentados. Como explicado, o processo de inscrição no MDM é baseado na interação do usuário, e pesquisadores suspeitam que técnicas de engenharia social podem ter sido empregadas para enganar os usuários-alvo.
É muito possível que os invasores tenham usado o serviço MDM para instalar remotamente versões modificadas de aplicativos legítimos nos iPhones visados. Os aplicativos foram projetados para espionar os usuários e coletar sua localização em tempo real, Contatos, fotos, e SMS e mensagens privadas de aplicativos de mensagens. Mais especificamente, para alavancar aplicativos como Telegram e WhatsApp, os invasores usaram o chamado “BOptions técnica de carregamento lateral,” o que lhes permitiu injetar uma biblioteca dinâmica nos aplicativos legítimos.
“TA biblioteca de injeção pode solicitar permissões adicionais, executar código e roubar informações do aplicativo original, entre outras coisas,” Pesquisadores do Cisco Talos explicaram em seu relatório. Todas as informações coletadas do Telegram e WhatsApp foram enviadas para um servidor remoto.
Deve-se notar que no momento de encerrar o relatório, A Apple já havia revogado 3 certificados vinculados a esta campanha, com o cancelamento do restante dos certificados depois que o Cisco Talos os notificou sobre o ataque.