L'operazione Triangolazione prende di mira i dispositivi iOS con nuovi malware

apple ios iphone

Durante il monitoraggio del traffico di rete della loro rete Wi-Fi aziendale dedicata per i dispositivi mobili, i ricercatori di Securelist hanno rilevato attività sospette provenienti da più telefoni basati su iOS. A causa delle limitazioni intrinseche dell'ispezione interna dei moderni dispositivi iOS, i ricercatori hanno scelto di creare backup offline dei dispositivi in questione e li hanno analizzati utilizzando lo strumento mvt-ios di Mobile Verification Toolkit. Attraverso questa analisi, hanno scoperto prove di compromesso, portando all'identificazione di una campagna denominata "Operazione Triangolazione".

Esaminando i backup del dispositivo mobile, che comprendono una replica parziale del file system, inclusi i dati degli utenti e i database dei servizi, i ricercatori sono stati in grado di utilizzare i timestamp di file e cartelle, nonché i record del database, per ricostruire una sequenza temporale approssimativa degli eventi sul dispositivo compromesso. dispositivi. L'utility mvt-ios ha facilitato la creazione di un file di timeline ordinato chiamato "timeline.csv", simile alle super-timeline utilizzate nei tradizionali strumenti forensi digitali.

Sfruttando questa sequenza temporale, i ricercatori hanno individuato con successo artefatti specifici che indicavano il compromesso. Questa scoperta ha spinto la loro ricerca in avanti, permettendo loro di delineare la sequenza generale dell'infezione come segue:

  • Il dispositivo iOS preso di mira riceve un iMessage contenente un allegato carico di exploit.
  • Il messaggio attiva una vulnerabilità all'interno del dispositivo, portando all'esecuzione di codice senza alcuna interazione da parte dell'utente.
  • L'exploit procede al download di diverse fasi successive dal server di comando e controllo (C&C), inclusi gli exploit di escalation dei privilegi.
  • Dopo il successo dello sfruttamento, una piattaforma APT (Advanced Persistent Threat) completa, che funge da payload finale, viene scaricata dal server C&C.
  • Il messaggio iniziale e l'allegato dell'exploit vengono eliminati per coprire le tracce.

A causa delle limitazioni del sistema operativo, il set di strumenti dannosi manca di persistenza. Di conseguenza, le tempistiche di più dispositivi suggeriscono la possibilità di una nuova infezione dopo il riavvio. Le prime tracce identificate di infezione risalgono al 2019. A partire da giugno 2023, l'attacco rimane in corso, prendendo di mira i dispositivi con iOS 15.7, l'ultima versione al momento della scrittura.
L'analisi del payload finale è ancora in corso. Funzionando con i privilegi di root, il codice implementa una gamma di comandi per raccogliere informazioni sul sistema e sull'utente e può eseguire codice arbitrario ottenuto come moduli plugin dal server C&C.

È fondamentale notare che, nonostante il malware incorpori segmenti di codice specifici dedicati alla cancellazione delle tracce di compromissione, è ancora possibile determinare in modo affidabile se un dispositivo è stato compromesso. Inoltre, se un nuovo dispositivo viene configurato migrando i dati utente da un dispositivo precedente, il backup iTunes di entrambi i dispositivi conterrà tracce di compromissione con timestamp precisi.

Perché il malware per telefoni iOS è difficile da analizzare?

Il malware del telefono iOS è generalmente considerato più difficile da sezionare rispetto al malware che prende di mira altri sistemi operativi, come Android. Ci sono diverse ragioni per questo:

Ecosistema chiuso: iOS è un ecosistema chiuso, il che significa che Apple controlla strettamente l'hardware, il software e la distribuzione delle app sui propri dispositivi. Questa natura chiusa rende più difficile per il malware prendere piede e diffondersi all'interno del sistema.

Processo di revisione dell'App Store: l'App Store ha un rigoroso processo di revisione in cui ogni app viene vagliata prima di essere resa disponibile per il download. Questo processo aiuta a impedire che le app dannose vengano distribuite su vasta scala. Sebbene ciò non elimini completamente la possibilità che il malware si infiltri, fornisce un ulteriore livello di protezione.

Sandboxing: le app iOS sono in modalità sandbox, il che significa che operano nel proprio ambiente limitato e hanno un accesso limitato alle risorse e ai dati di sistema sottostanti. Questo isolamento impedisce al malware di diffondersi facilmente in diverse parti del sistema.

Firma del codice e crittografia: le app iOS devono essere firmate da un certificato per sviluppatori rilasciato da Apple. Questa firma del codice garantisce che solo gli sviluppatori autorizzati possano creare e distribuire app. Inoltre, iOS utilizza misure di crittografia avanzate, rendendo difficile l'analisi e la manomissione del codice dell'app.

Privilegi utente limitati: iOS limita i privilegi utente, impedendo alle app di accedere ad aree sensibili del dispositivo senza l'autorizzazione esplicita dell'utente. Questa limitazione riduce il potenziale impatto del malware.

Sebbene iOS offra diverse funzionalità di sicurezza, è importante notare che nessun sistema è completamente immune al malware. Ci sono stati casi di malware iOS, ma a causa dei fattori sopra menzionati, tende a essere meno diffuso rispetto ad altre piattaforme. Tuttavia, con l'avanzare della tecnologia, i creatori di malware si adattano continuamente e trovano nuovi modi per sfruttare le vulnerabilità, richiedendo misure di sicurezza e vigilanza continue.

Entro il Zaib
June 23, 2023
Computer Security
Italiano
June 23, 2023
Computer Security

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.