Operación triangulación apunta a dispositivos iOS con malware novedoso

Mientras monitoreaban el tráfico de red de su red Wi-Fi corporativa dedicada para dispositivos móviles, los investigadores de Securelist detectaron actividad sospechosa que se originaba en múltiples teléfonos basados en iOS. Debido a las limitaciones inherentes a la inspección interna de los dispositivos iOS modernos, los investigadores optaron por crear copias de seguridad fuera de línea de los dispositivos en cuestión y las analizaron con la herramienta mvt-ios de Mobile Verification Toolkit. A través de este análisis, descubrieron evidencia de compromiso, lo que llevó a la identificación de una campaña denominada "Operación Triangulación".

Al examinar las copias de seguridad de los dispositivos móviles, que abarcan una réplica parcial del sistema de archivos, incluidos los datos de usuario y las bases de datos de servicios, los investigadores pudieron utilizar marcas de tiempo de archivos y carpetas, así como registros de bases de datos, para reconstruir una cronología aproximada de eventos en el sitio comprometido. dispositivos. La utilidad mvt-ios facilitó la creación de un archivo de línea de tiempo ordenado llamado "timeline.csv", similar a las súper líneas de tiempo utilizadas en las herramientas forenses digitales tradicionales.

Al aprovechar esta línea de tiempo, los investigadores identificaron con éxito artefactos específicos que indicaban el compromiso. Este descubrimiento impulsó su investigación, permitiéndoles delinear la secuencia general de infección de la siguiente manera:

• El dispositivo iOS objetivo recibe un iMessage que contiene un archivo adjunto cargado de vulnerabilidades.
• El mensaje desencadena una vulnerabilidad dentro del dispositivo, lo que lleva a la ejecución del código sin interacción del usuario.
• El exploit procede a descargar varias etapas posteriores del servidor de comando y control (C&C), incluidos los exploits de escalada de privilegios.
• Después de una explotación exitosa, se descarga desde el servidor C&C una plataforma de amenazas persistentes avanzadas (APT) con todas las funciones, que actúa como la carga útil final.
• El mensaje inicial y el archivo adjunto de explotación se eliminan para cubrir las pistas.

Debido a las limitaciones del sistema operativo, el conjunto de herramientas maliciosas carece de persistencia. En consecuencia, las líneas de tiempo de múltiples dispositivos sugieren la posibilidad de reinfección después de reiniciar. Los primeros rastros de infección identificados se remontan a 2019. A partir de junio de 2023, el ataque continúa y se dirige a dispositivos con iOS 15.7, la última versión en el momento de redactar este informe.
El análisis de la carga útil final aún está en curso. Al ejecutarse con privilegios de root, el código implementa una variedad de comandos para recopilar información del sistema y del usuario y puede ejecutar código arbitrario obtenido como módulos de complemento del servidor C&C.

Es crucial tener en cuenta que, a pesar de que el malware incorpora segmentos de código específicos dedicados a borrar los rastros de compromiso, aún es posible determinar de manera confiable si un dispositivo ha sido comprometido. Además, si se configura un nuevo dispositivo mediante la migración de datos de usuario desde un dispositivo anterior, la copia de seguridad de iTunes de ambos dispositivos contendrá rastros de compromiso con marcas de tiempo precisas.

¿Por qué iOS Phone Malware es difícil de diseccionar?

El malware para teléfonos iOS generalmente se considera más difícil de diseccionar en comparación con el malware dirigido a otros sistemas operativos, como Android. Hay varias razones para esto:

Ecosistema cerrado: iOS es un ecosistema cerrado, lo que significa que Apple controla estrictamente el hardware, el software y la distribución de aplicaciones en sus dispositivos. Esta naturaleza cerrada hace que sea más difícil para el malware establecerse y propagarse dentro del sistema.

Proceso de revisión de la tienda de aplicaciones: la tienda de aplicaciones tiene un proceso de revisión estricto en el que se examina cada aplicación antes de que esté disponible para su descarga. Este proceso ayuda a evitar que las aplicaciones maliciosas se distribuyan ampliamente. Si bien esto no elimina por completo la posibilidad de que el malware se filtre, proporciona una capa adicional de protección.

Sandboxing: las aplicaciones de iOS están protegidas, lo que significa que operan en su propio entorno restringido y tienen acceso limitado a los recursos y datos del sistema subyacente. Este aislamiento evita que el malware se propague fácilmente por diferentes partes del sistema.

Firma y cifrado de código: las aplicaciones de iOS deben estar firmadas por un certificado de desarrollador emitido por Apple. Esta firma de código garantiza que solo los desarrolladores autorizados puedan crear y distribuir aplicaciones. Además, iOS utiliza fuertes medidas de cifrado, lo que dificulta el análisis y la manipulación del código de la aplicación.

Privilegios de usuario limitados: iOS restringe los privilegios de usuario, evitando que las aplicaciones accedan a áreas confidenciales del dispositivo sin el permiso explícito del usuario. Esta limitación reduce el impacto potencial del malware.

Si bien iOS ofrece varias funciones de seguridad, es importante tener en cuenta que ningún sistema es completamente inmune al malware. Ha habido instancias de malware para iOS, pero debido a los factores mencionados anteriormente, tiende a ser menos frecuente en comparación con otras plataformas. Sin embargo, a medida que avanza la tecnología, los creadores de malware se adaptan continuamente y encuentran nuevas formas de explotar las vulnerabilidades, lo que requiere medidas de seguridad y vigilancia continuas.