Interesante trabajo
por parte del equipo de seguridad Talos de Cisco, en la que revelan como hasta
un total de 13 teléfonos con sistema operativo iOS que habrían sido infectados.
Los detalles
técnicos, de obligada y agradable lectura, están en el artículo original
publicado en el blog de Cisco Talos. Sintetizando: una investigación de este
grupo ha dado con más de una docena de terminales de la marca Apple que podrían
haber sido infectados, no con un malware diseñado para esta plataforma sino con
la funcionalidad de gestión del dispositivo.
La gestión de
dispositivos o Mobile Device Management, está pensada para administrar grandes
parques de móviles en entornos de empresa. Pensemos en una organización de
tamaño mediano y en la persona que debe instalar las aplicaciones de uso en la
empresa, certificados y reglas de restricción sobre el uso de la plataforma. El
MDM permite librarle de ese tedioso trabajo. Además también posee interesantes
características prácticas como el borrado remoto en caso de pérdida y otras,
más orwellianas, como la geolocalización. Apple llama a esto "dispositivo
supervisado".
Naturalmente, no
funciona por arte de magia, es necesario o bien tener acceso físico al
dispositivo o pidiéndole amablemente a la usuaria o al usuario que proceda a
aceptar su sumisión mediante ingeniería social (a veces ni tan siquiera hace
falta engañarle un poco, basta pedir que lo acepte sin mas). Una vez se agrega
el certificado apropiado (funciona como una especie de autoridad certificadora)
es posible instalar y administrar el dispositivo.
Pero eso es solo el
principio, hay más. El esquema explota una técnica denominada BOptions
sideloading. Consiste en la carga y ejecución de funciones desde una biblioteca
dinámica (dylib). Esta biblioteca es incluida con el paquete ipa (el
equivalente en iOS a un apk de Android) de una aplicación legítima, lo que
deriva en su troyanización. De hecho, los investigadores encontraron hasta tres
aplicaciones "retocadas", algunas muy conocidas por todos: WhatsApp,
Telegram y una tercera popular, al parecer, en la India, país en el que se
circunscribe el ataque.
Respecto del ataque,
llama la atención que solamente haya 13 dispositivos afectados. Según Talos,
este ataque llevaba activo 3 años y aunque en su manufactura se dejaran pistas
falsas para desviar la atribución, todo parece indicar que se trata de una
operación montada desde India. Además, con una intención muy clara de obtener
las comunicaciones y localización de las víctimas.
El esquema en si no
es original. MDM ya ha dado algún que otro susto, recordemos a Sidestepper.
Cuanto más se abre un dispositivo o sistema más se expone a que esa misma
funcionalidad retorne como una fresca y sonora bofetada en la cara. Eso si, con
la connivencia de la ignorancia de quienes usan el dispositivo.
Más información:
·
Advance
Mobile Malware Campaign in India uses malicious MDM https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html
Fuente: Hispasec