Los dispositivos iOS han sido atacados específicamente con malware
El proveedor de antivirus Kaspersky ha descubierto una campaña de malware dirigida explícitamente a infectar iPhones con iOS 15.7 a través de iMessage, pero se puede encontrar y prevenir.
El equipo de Kaspersky identificó un comportamiento potencialmente sospechoso procedente de varios dispositivos iOS. Sin embargo, debido a las limitaciones de seguridad que restringen el examen interno directo de los dispositivos iOS, la empresa tuvo que generar copias de seguridad fuera de línea.
Estas copias de seguridad se sometieron luego a análisis mediante el mvt-ios (kit de herramientas de verificación móvil para iOS), lo que resulta en la identificación de indicadores que indican compromiso. El ataque ocurre cuando el dispositivo iOS objetivo recibe un mensaje a través de la plataforma iMessage.
El mensaje incluye un archivo adjunto que contiene un exploit. Este exploit, diseñado explícitamente como un mecanismo de clic cero, desencadena una vulnerabilidad dentro del sistema, lo que permite la ejecución de código malicioso sin necesidad de interacción por parte del usuario.
Después de eso, el exploit inicia la recuperación de fases adicionales del servidor de Comando y Control (C&C). Estas fases incluyen más exploits diseñados específicamente para elevar los privilegios.
Una vez que el proceso de explotación resulta exitoso, se descarga una plataforma integral APT (Advanced Persistent Threat) desde el servidor C&C, estableciendo un control absoluto sobre el dispositivo y los datos del usuario. El ataque erradica el mensaje inicial y explota el archivo adjunto para mantener su naturaleza encubierta.
Curiosamente, el conjunto de herramientas maliciosas no es persistente, lo que indica que las limitaciones del entorno iOS pueden ser un factor limitante. Sin embargo, los dispositivos podrían volver a infectarse al reiniciarse por otro ataque.
Además, Kaspersky indicó que el ataque ha afectado efectivamente a los dispositivos que ejecutan versiones de iOS hasta la 15.7 a partir de junio de 2023. Sin embargo, aún no se sabe si la campaña explota una vulnerabilidad de día cero recién descubierta en versiones anteriores de iOS..
Todavía se está investigando el alcance y la magnitud del vector de ataque.
Cómo protegerse
El equipo de Kaspersky está realizando una investigación en curso sobre la última carga útil del malware, que opera con privilegios de raíz. Este software malicioso posee la capacidad de recopilar datos del sistema y del usuario, así como ejecutar código arbitrario que se descarga como módulos de complemento del servidor C&C.
Sin embargo, dicen que es posible identificar si un dispositivo ha sido comprometido de manera confiable. Además, cuando se configura un nuevo dispositivo mediante la migración de datos de usuario desde un dispositivo anterior, la copia de seguridad de iTunes de ese dispositivo conservará los rastros de compromiso que se produjo en ambos dispositivos, con marcas de tiempo precisas.
La publicación del blog de Kaspersky proporciona pautas integrales para determinar si su dispositivo iOS está infectado con el malware. El proceso implica utilizar la aplicación de línea de comandos Terminal para instalar software e inspeccionar archivos específicos en busca de signos de presencia de malware.
Cree una copia de seguridad con idevicebackup2 con el comando”copia de seguridad de idevicebackup2: $backup_directory completo“. Luego, instale MVT usando el comando”pip install mvt“. Después de eso, los usuarios pueden inspeccionar la copia de seguridad usando el comando”mvt-ios check-backup-o $mvt_output_directory $decrypted_backup_directory“. Por último, consulte el archivo timeline.csv para ver si hay indicadores con líneas de uso de datos que mencionen el proceso denominado”BackupAgent“.
Este binario específico se considera obsoleto y normalmente no debería estar presente en la línea de tiempo de uso del dispositivo durante el funcionamiento normal.
Es importante tener en cuenta que estos pasos requieren un cierto nivel de experiencia técnica y solo deben ser realizados por usuarios expertos. Actualizar a iOS 16 es la mejor y más fácil manera de protegerse.