Gli hacker hanno utilizzato la soluzione malevola MDM per spiare gli utenti iPhone altamente mirati

Gli hacker hanno utilizzato la soluzione malevola MDM per spiare gli utenti iPhone altamente mirati

Gli hacker hanno utilizzato la soluzione malevola MDM per spiare gli utenti iPhone altamente mirati

I ricercatori di sicurezza hanno scoperto una campagna di malware mobile altamente mirati che è attiva da agosto 2015 e ha scoperto spiare 13 iPhone selezionati in India.

Gli hacker, che si ritiene operino anche dall’India, hanno rilevato un protocollo MDM (Mobile Device Management) abusivo – un tipo di software di sicurezza utilizzato dalle grandi aziende per controllare e applicare le policy sui dispositivi utilizzati dai dipendenti – per controllare e distribuire malware applicazioni da remoto.

Sfruttare il servizio Apple MDM per controllare in remoto i dispositivi

mod-iphone-con-MDM-Server

Per registrare un dispositivo iOS in MDM, è necessario che un utente installi manualmente il certificato di sviluppo aziendale, le imprese ottenute tramite il programma Apple Developer Enterprise.

Le aziende possono fornire il file di configurazione MDM tramite e-mail o una pagina Web per il servizio di registrazione over-the-air tramite Apple Configurator.

Una volta installato, il servizio consente agli amministratori dell’azienda di controllare a distanza il dispositivo, installare / rimuovere app, installare / revocare certificati, bloccare il dispositivo, modificare i requisiti della password, ecc.

“MDM utilizza l’APNS (Apple Push Notification Service) per inviare un messaggio di attivazione a un dispositivo gestito, che quindi si collega a un servizio Web predeterminato per recuperare comandi e restituire risultati”, spiega la Apple su MDM.

Poiché ogni fase del processo di registrazione richiede l’interazione dell’utente, come l’installazione di un’autorità di certificazione su iPhone, non è ancora chiaro in che modo gli hacker sono riusciti a registrare 13 iPhone mirati nel loro servizio MDM.

Tuttavia, i ricercatori dell’unità di intelligence delle minacce Talos di Cisco, che hanno scoperto la campagna, ritengono che gli autori dell’attacco probabilmente usassero un meccanismo di ingegneria sociale, come una falsa chiamata in stile supporto tecnico o l’accesso fisico ai dispositivi mirati.

Spiare attraverso le app di Telegram e WhatsApp compromesse

mod-iphone-con-MDM-Server

Secondo i ricercatori, gli aggressori dietro la campagna hanno utilizzato il servizio MDM per installare da remoto versioni modificate di app legittime su iPhone di destinazione, progettati per spiare segretamente gli utenti e rubare la loro posizione in tempo reale, contatti, foto, SMS e privati messaggi dalle applicazioni di chat.

Per aggiungere funzionalità dannose in app di messaggistica sicure, come Telegram e WhatsApp, l’autore dell’attacco ha utilizzato la tecnica sidpowering BOptions, che ha consentito di iniettare una libreria dinamica nelle app legittime.

“La libreria di iniezione può richiedere ulteriori autorizzazioni, eseguire codice e rubare informazioni dall’applicazione originale, tra le altre cose” spiegano i ricercatori.

Il malware è stato iniettato nelle versioni compromesse di Telegram e le applicazioni di WhatsApp sono state progettate per inviare contatti, posizione e immagini dal dispositivo compromesso a un server remoto situato in hxxp [:] // techwach [.] Com.

“Talos ha identificato un’altra app legittima che esegue codice malevolo durante questa campagna in India: PrayTime viene utilizzato per fornire all’utente una notifica quando è il momento di pregare”, hanno detto i ricercatori.

“Lo scopo è quello di scaricare e visualizzare annunci specifici per l’utente.Questa app sfrutta anche framework privati ​​per leggere i messaggi SMS sul dispositivo su cui è installato e li carica sul server C2.”

A questo punto, non è noto chi sia dietro la campagna, chi è stato preso di mira nella campagna, e quali fossero i motivi dietro l’attacco, ma i ricercatori hanno trovato prove che suggeriscono che gli aggressori stavano operando dall’India, mentre gli aggressori hanno piantato una bandiera falsa posando come russo.

“In un periodo di tre anni, gli aggressori sono rimasti sotto il radar – probabilmente a causa del basso numero di dispositivi compromessi – abbiamo rilevato che i dispositivi di test sono stati registrati sull’MDM con un numero di telefono indiano e registrati su un fornitore indiano”, hanno detto i ricercatori di Talos.

“Tutti i dettagli tecnici indicano un attore che vive nello stesso paese delle vittime: l’India”.

Al momento della segnalazione, Apple aveva già revocato 3 certificati collegati a questa campagna e, dopo essere stata informata dal team di Talos, la società ha anche annullato gli altri due certificati.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat