El proveedor de antivirus Kaspersky ha descubierto una campaña de malware dirigida a iPhones que funcionan con iOS 15.7 a través de iMessage. Es importante destacar que este malware de clic/toque cero se puede encontrar y bloquear.
Dice Kaspersky: …ya que es imposible inspeccionar los dispositivos iOS modernos desde el interior, creamos copias de seguridad fuera de línea de los dispositivos en cuestión, los inspeccionamos utilizando los mvt-ios del kit de herramientas de verificación móvil y descubrimos rastros de compromiso.
Llamamos a esta campaña “Operación Triangulación”, y toda la información relacionada que tenemos sobre ella se recopilará en la página de la Operación Triangulación.
Esto nos permitió [nosotros] hacer avanzar la investigación y reconstruir la secuencia general de la infección:
- El dispositivo iOS de destino recibe un mensaje a través del servicio iMessage, con un archivo adjunto que contiene un exploit.
- Sin ninguna interacción del usuario, el mensaje desencadena una vulnerabilidad que conduce a la ejecución del código.
- El código dentro de la explotación descarga varias etapas posteriores desde el servidor C&C, que incluyen exploits adicionales para la escalada de privilegios.
- Después de una explotación exitosa, se descarga una carga útil final del servidor C&C, que es una plataforma APT con todas las funciones.
- Se elimina el mensaje inicial y el exploit en el archivo adjunto
El conjunto de herramientas maliciosas no admite la persistencia, muy probablemente debido a las limitaciones del sistema operativo. Las líneas de tiempo de varios dispositivos indican que pueden volver a infectarse después de reiniciar. Los rastros más antiguos de infección que descubrimos ocurrieron en 2019. En el momento de escribir este artículo en junio de 2023, el ataque está en curso, y la versión más reciente de los dispositivos al que se dirige con éxito es iOS 15.7.
El análisis de la carga útil final aún no ha terminado. El código se ejecuta con privilegios de root, implementa un conjunto de comandos para recopilar información del sistema y del usuario, y puede ejecutar código arbitrario descargado como módulos de complemento desde el servidor C&C.
Es importante tener en cuenta que, aunque el malware incluye partes de código dedicadas específicamente a borrar los rastros de compromiso, es posible identificar de forma fiable si el dispositivo se vio comprometido. Además, si se configuró un nuevo dispositivo migrando datos de usuario desde un dispositivo más antiguo, la copia de seguridad de iTunes de ese dispositivo contendrá los rastros de compromiso que le ocurrieron a ambos dispositivos, con las marcas de tiempo correctas.
Conclusión: si tu dispositivo lo permite, actualiza a iOS 16.5 (lanzado el 18 de mayo de 2023) lo antes posible.
