Hackers usam solução MDM maliciosa para espionar os usuários do iPhone

19/07/2018 mindsecblog LGPD & PRIVACY, Notícias 1

Hackers usam solução MDM maliciosa para espionar os usuários do iPhone. Pesquisadores de segurança descobriram uma campanha de malware móvel, com foco em um grupo de usuários específicos, que vem operando desde agosto de 2015 e encontrado espionando 13 iPhones selecionados na Índia.

Os atacantes, que se acredita também estar operando a partir da própria Índia, foram encontrados abusando do protocolo do Mobile Device Management (MDM), software de segurança usado por grandes empresas para controlar e aplicar políticas em dispositivos móveis que são usados por seus empregados, para controlar e implantar aplicações maliciosas remotamente.

fonte: Talos Intelligence

Para se inscrever um dispositivo iOS para o MDM exige que o usuário instalar manualmente certificado de desenvolvimento empresarial, que as empresas obtém através do Programa Apple Developer Enterprise Program. As empresas podem enviar arquivo de configuração do MDM através de e-mail ou uma página web para o serviço de inscrição usando o Apple Configurator.

Uma vez que um usuário o instala, o serviço permite que os administradores de empresas possam controlar remotamente o dispositivo, instalar / remover aplicativos, instalar / revogar certificados, bloquear o dispositivo, alterar os requisitos de senha, etc.

“MDM usa o serviço Apple Push Notification Service (APNS) para entregar uma mensagem de alerta para um dispositivo gerenciado. O dispositivo se conecta a um serviço web predeterminado para recuperar comandos e retornar resultados,” explica a Apple no manual “Mobile Device Management Protocol Reference”

Uma vez que cada etapa do processo de inscrição requer interação do usuário, como a instalação de uma autoridade de certificação no iPhone, ainda não está claro como os atacantes conseguiram matricular 13 iPhones direcionando-os para o seu serviço de MDM. No entanto, pesquisadores da unidade de inteligência de ameaças Talos da Cisco, que descobriu a campanha, acreditam que os atacantes provavelmente tenham usado um mecanismo de engenharia social ou uma falsa tecnologia support-style call, ou ainda o acesso físico aos dispositivos alvo.

fonte: Talos Intelligence

Segundo os pesquisadores, os atacantes por trás da campanha usou o serviço de MDM para instalar remotamente versões modificadas de aplicativos legítimos nos iPhones-alvo, que foram projetados para espionar secretamente em usuários, e roubar a sua localização em tempo real, contatos, fotos, SMS e mensagens privadas de aplicativos de bate-papo. Para adicionar recursos maliciosos em aplicativos de mensagens seguras, como Telegrama e WhatsApp, o atacante usou a “BOptions sideloading technique“, o que lhes permitiu injetar uma biblioteca dinâmica nos aplicativos legítimos.

“A biblioteca de injeção pode pedir permissões adicionais, executar código e roubar informações da aplicação original, entre outras coisas,” explicam os investigadores.

O malware injetado nas versões comprometidas do telegrama, e aplicações WhatsApp foram projetados para enviar contatos, localização e imagens a partir do dispositivo comprometido para um servidor remoto localizado na hxxp [:] [.] // techwach com

“Talos identificou outro aplicativo legítimo execução de código malicioso durante esta campanha na Índia, o PrayTime, que é usado para dar ao usuário uma notificação quando é hora de rezar“, disseram os pesquisadores. “O objetivo é fazer o download e exibir anúncios específicos para o usuário. Este aplicativo também aproveita estruturas privadas para ler as mensagens SMS no dispositivo em que está instalado e carrega-os para o servidor C2.”

Segundo o blog da Talos Intelligence, “graças aos registros localizados nos servidores MDM e no servidor de comando e controle (C2) do malware, pudemos determinar que o malware está em uso desde agosto de 2015. A campanha segmentou apenas alguns dispositivos selecionados (13) que são todos localizado na Índia. O invasor deixou dados essenciais nos servidores, como e-mails e nomes de usuários. Como parte do desenvolvimento e dos testes do invasor, parece que eles comprometeram o dispositivo. Observamos um dispositivo chamado ‘test’ ou ‘mdmdev’. Os arquivos de log que identificamos contêm o número de telefone do dispositivo. O número é originário da Índia e usa a rede ‘Vodafone India’ com capacidade de roaming desativada. Com todas essas informações em mente, assumimos com grande confiança que o autor do malware trabalha fora da Índia”

“Todos os detalhes técnicos apontam para um ator com base no mesmo país que as vítimas: India.“

A Talos Intelligence alerta que “o MDM está se tornando mais popular em grandes empresas, e os usuários devem estar cientes de que a instalação de certificados adicionais em seus dispositivos para permitir o gerenciamento remoto pode resultar em atividade potencialmente maliciosa. Ao instalar um certificado fora da cadeia de certificados confiáveis do Apple iOS, você pode abrir possíveis ataques de terceiros como este. Os usuários devem estar cientes de que aceitar um certificado MDM é equivalente a permitir que alguém acesse o administrador do dispositivo, senhas etc. Isso deve ser feito com muito cuidado para evitar problemas de segurança e não deve ser algo que o usuário doméstico comum faz.”

No site do blog da Talos Intelligence é dados maiores informações para a comunidade de segurança e os usuários saberem como esse ataque funciona. O uso provável de engenharia social para recrutar dispositivos serve como um lembrete de que os usuários precisam ter cuidado ao clicar em links não solicitados e verificar identidades e legitimidade de solicitações de acesso a dispositivos.

No momento da notificação, a Apple já havia revogado 3 certificados vinculados a esta campanha, e depois de ser informado pela equipe Talos, a empresa também cancelou o resto dois certificados bem.

fonte: The Hacker News & Talos Intelligence

Veja também: