Una investigación revela infección de terminales iPhone a través de MDM

Interesante trabajo por parte del equipo de seguridad Talos de Cisco, en la que revelan como hasta un total de 13 teléfonos con sistema operativo iOS que habrían sido infectados.

Los detalles técnicos, de obligada y agradable lectura, están en el artículo original publicado en el blog de Cisco Talos. Sintetizando: una investigación de este grupo ha dado con más de una docena de terminales de la marca Apple que podrían haber sido infectados, no con un malware diseñado para esta plataforma sino con la funcionalidad de gestión del dispositivo.

Esquema de infección

La gestión de dispositivos o Mobile Device Management, está pensada para administrar grandes parques de móviles en entornos de empresa. Pensemos en una organización de tamaño mediano y en la persona que debe instalar las aplicaciones de uso en la empresa, certificados y reglas de restricción sobre el uso de la plataforma. El MDM permite librarle de ese tedioso trabajo. Además también posee interesantes características prácticas como el borrado remoto en caso de pérdida y otras, más orwellianas, como la geolocalización. Apple llama a esto “dispositivo supervisado”.

Naturalmente, no funciona por arte de magia, es necesario o bien tener acceso físico al dispositivo o pidiéndole amablemente a la usuaria o al usuario que proceda a aceptar su sumisión mediante ingeniería social (a veces ni tan siquiera hace falta engañarle un poco, basta pedir que lo acepte sin mas). Una vez se agrega el certificado apropiado (funciona como una especie de autoridad certificadora) es posible instalar y administrar el dispositivo.

Pero eso es solo el principio, hay más. El esquema explota una técnica denominada BOptions sideloading. Consiste en la carga y ejecución de funciones desde una biblioteca dinámica (dylib). Esta biblioteca es incluida con el paquete ipa (el equivalente en iOS a un apk de Android) de una aplicación legítima, lo que deriva en su troyanización. De hecho, los investigadores encontraron hasta tres aplicaciones “retocadas”, algunas muy conocidas por todos: WhatsApp, Telegram y una tercera popular, al parecer, en la India, país en el que se circunscribe el ataque.

Respecto del ataque, llama la atención que solamente haya 13 dispositivos afectados. Según Talos, este ataque llevaba activo 3 años y aunque en su manufactura se dejaran pistas falsas para desviar la atribución, todo parece indicar que se trata de una operación montada desde India. Además, con una intención muy clara de obtener las comunicaciones y localización de las víctimas.

El esquema en si no es original. MDM ya ha dado algún que otro susto, recordemos a Sidestepper. Cuanto más se abre un dispositivo o sistema más se expone a que esa misma funcionalidad retorne como una fresca y sonora bofetada en la cara. Eso si, con la connivencia de la ignorancia de quienes usan el dispositivo.

Ver información original al respecto en Fuente: