Dispositivos iOS foram especificamente visados por malware
O provedor de antivírus Kaspersky descobriu uma campanha de malware explicitamente destinada a infectar iPhones com iOS 15.7 por meio do iMessage-mas pode ser encontrada e evitada.
A equipe da Kaspersky identificou um comportamento potencialmente suspeito proveniente de vários dispositivos iOS. No entanto, devido às limitações de segurança que restringem o exame interno direto dos dispositivos iOS, a empresa teve que gerar backups offline.
Esses backups foram então submetidos a análise usando o mvt-ios (Mobile Verification Toolkit para iOS), resultando na identificação de indicadores que indicam comprometimento. O ataque ocorre quando o dispositivo iOS visado recebe uma mensagem por meio da plataforma iMessage.
A mensagem inclui um anexo que carrega uma exploração. Essa exploração, criada explicitamente como um mecanismo de clique zero, aciona uma vulnerabilidade no sistema, permitindo a execução de código malicioso sem exigir nenhuma interação do usuário.
Depois disso, o exploit inicia a recuperação de fases adicionais do servidor de Comando e Controle (C&C). Essas fases incluem mais explorações especificamente concebidas para elevar privilégios.
Assim que o processo de exploração for bem-sucedido, uma plataforma APT (Advanced Persistent Threat) abrangente é baixada do servidor C&C, estabelecendo controle absoluto sobre o dispositivo e os dados do usuário. O ataque erradica a mensagem inicial e explora o anexo para manter sua natureza secreta.
Curiosamente, o kit de ferramentas malicioso não é persistente, indicando que as limitações do ambiente iOS podem ser um fator limitante. No entanto, os dispositivos podem ser infectados novamente após a reinicialização por outro ataque.
Além disso, a Kaspersky indicou que o ataque afetou efetivamente os dispositivos que executam versões do iOS até 15.7 em junho de 2023. No entanto, permanece incerto se a campanha explora uma vulnerabilidade de dia zero recém-descoberta em versões mais antigas do iOS.
A extensão total e a magnitude do vetor de ataque ainda estão sob investigação.
Como se proteger
A equipe da Kaspersky está conduzindo uma investigação contínua sobre a carga útil final do malware, que opera com privilégios de root. Este software malicioso possui a capacidade de coletar dados do sistema e do usuário, bem como executar código arbitrário que é baixado como módulos de plug-in do servidor C&C.
No entanto, eles dizem que é possível identificar se um dispositivo foi comprometido de forma confiável. Além disso, quando um novo dispositivo é configurado migrando os dados do usuário de um dispositivo anterior, o backup do iTunes desse dispositivo reterá vestígios de comprometimento que ocorreram em ambos os dispositivos, completos com carimbos de data/hora precisos.
A postagem do blog da Kaspersky fornece diretrizes abrangentes para determinar se o seu dispositivo iOS está infectado com o malware. O processo envolve a utilização do aplicativo de linha de comando do Terminal para instalar software e inspecionar arquivos específicos em busca de sinais de presença de malware.
Crie um backup com idevicebackup2 com o comando”idevicebackup2 backup — full $backup_directory.”Em seguida, instale o MVT usando o comando”pip install mvt.”Depois disso, os usuários podem inspecionar o backup usando o comando”mvt-ios check-backup-o $mvt_output_directory $decrypted_backup_directory.”Por fim, verifique o arquivo timeline.csv em busca de indicadores com linhas de uso de dados que mencionem o processo denominado”BackupAgent“.
Este binário específico é considerado obsoleto e normalmente não deve estar presente na linha do tempo de uso do dispositivo durante a operação normal.
É importante observar que essas etapas exigem um certo nível de conhecimento técnico e devem ser executadas apenas por usuários experientes. Atualizar para o iOS 16 é a melhor e mais fácil maneira de se proteger.
