Triangulação de operação visa dispositivos iOS com novo malware

apple ios iphone

Ao monitorar o tráfego de rede de sua rede Wi-Fi corporativa dedicada para dispositivos móveis, os pesquisadores da Securelist detectaram atividades suspeitas provenientes de vários telefones baseados em iOS. Devido às limitações inerentes à inspeção interna de dispositivos iOS modernos, os pesquisadores optaram por criar backups offline dos dispositivos em questão e analisá-los usando a ferramenta mvt-ios do Mobile Verification Toolkit. Por meio dessa análise, eles descobriram evidências de comprometimento, levando à identificação de uma campanha conhecida como "Operação Triangulação".

Ao examinar os backups de dispositivos móveis, que abrangem uma réplica parcial do sistema de arquivos, incluindo dados do usuário e bancos de dados de serviço, os pesquisadores foram capazes de utilizar carimbos de data/hora de arquivos e pastas, bem como registros de banco de dados, para reconstruir uma linha do tempo aproximada de eventos no comprometido dispositivos. O utilitário mvt-ios facilitou a criação de um arquivo de linha do tempo classificado chamado "timeline.csv", semelhante às superlinhas do tempo utilizadas nas ferramentas forenses digitais tradicionais.

Aproveitando essa linha do tempo, os pesquisadores identificaram com sucesso artefatos específicos que indicavam o comprometimento. Essa descoberta impulsionou sua pesquisa, permitindo-lhes delinear a sequência geral da infecção da seguinte forma:

  • O dispositivo iOS de destino recebe um iMessage contendo um anexo carregado de exploração.
  • A mensagem aciona uma vulnerabilidade no dispositivo, levando à execução do código sem nenhuma interação do usuário.
  • A exploração prossegue para baixar vários estágios subsequentes do servidor de comando e controle (C&C), incluindo explorações de escalonamento de privilégios.
  • Após a exploração bem-sucedida, uma plataforma de ameaça persistente avançada (APT) com todos os recursos, servindo como carga útil final, é baixada do servidor C&C.
  • A mensagem inicial e o anexo de exploração são excluídos para cobrir os rastros.

Devido às limitações do sistema operacional, o conjunto de ferramentas malicioso não tem persistência. Consequentemente, os cronogramas de vários dispositivos sugerem a possibilidade de reinfecção após a reinicialização. Os primeiros vestígios identificados de infecção datam de 2019. Em junho de 2023, o ataque continua em andamento, visando dispositivos executando o iOS 15.7, a versão mais recente no momento da redação deste artigo.
A análise da carga útil final ainda está em andamento. Executando com privilégios de root, o código implementa uma variedade de comandos para coletar informações do sistema e do usuário e pode executar código arbitrário obtido como módulos de plug-in do servidor C&C.

É crucial observar que, apesar do malware incorporar segmentos de código específicos dedicados a apagar vestígios de comprometimento, ainda é possível determinar com segurança se um dispositivo foi comprometido. Além disso, se um novo dispositivo for configurado migrando os dados do usuário de um dispositivo mais antigo, o backup do iTunes de ambos os dispositivos conterá vestígios de comprometimento com carimbos de data/hora precisos.

Por que o malware do telefone iOS é difícil de dissecar?

O malware do telefone iOS geralmente é considerado mais difícil de dissecar em comparação com o malware direcionado a outros sistemas operacionais, como o Android. Há várias razões para isso:

Ecossistema fechado: o iOS é um ecossistema fechado, o que significa que a Apple controla rigidamente o hardware, o software e a distribuição de aplicativos em seus dispositivos. Essa natureza fechada torna mais difícil para o malware ganhar uma posição e se espalhar dentro do sistema.

Processo de revisão da App Store: A App Store tem um processo de revisão rigoroso em que cada aplicativo é analisado antes de ser disponibilizado para download. Esse processo ajuda a impedir que aplicativos maliciosos sejam amplamente distribuídos. Embora isso não elimine completamente a possibilidade de infiltração de malware, ele fornece uma camada adicional de proteção.

Sandboxing: os aplicativos iOS são colocados em sandbox, o que significa que eles operam em seu próprio ambiente restrito e têm acesso limitado aos recursos e dados subjacentes do sistema. Esse isolamento evita que o malware se espalhe facilmente por diferentes partes do sistema.

Assinatura de código e criptografia: os aplicativos iOS precisam ser assinados por um certificado de desenvolvedor emitido pela Apple. Essa assinatura de código garante que apenas desenvolvedores autorizados possam criar e distribuir aplicativos. Além disso, o iOS utiliza fortes medidas de criptografia, dificultando a análise e adulteração do código do aplicativo.

Privilégios de usuário limitados: o iOS restringe os privilégios do usuário, impedindo que os aplicativos acessem áreas confidenciais do dispositivo sem permissão explícita do usuário. Essa limitação reduz o impacto potencial do malware.

Embora o iOS ofereça vários recursos de segurança, é importante observar que nenhum sistema é completamente imune a malware. Houve casos de malware para iOS, mas devido aos fatores mencionados acima, ele tende a ser menos prevalente em comparação com outras plataformas. No entanto, à medida que a tecnologia avança, os criadores de malware se adaptam continuamente e encontram novas maneiras de explorar vulnerabilidades, exigindo medidas de segurança e vigilância contínuas.

Por Zaib
June 23, 2023
Computer Security
Portuguese
June 23, 2023
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.