Kaspersky, azienda specializzata nella produzione di software progettati per la sicurezza informatica, ha scoperto diversi malware creati esplicitamente per infettare gli iPhone con iOS 15.7 tramite iMessage.
Il team di Kaspersky ha scoperto comportamenti potenzialmente sospetti provenienti da più dispositivi iOS. Tuttavia, a causa delle limitazioni di sicurezza che limitano l’esame interno diretto dei dispositivi iOS, l’azienda ha dovuto generare un backup offline per poter approfondire.
Questi backup sono stati poi sottoposti ad analisi utilizzando il mvt-ios (Mobile Verification Toolkit for iOS), con conseguente identificazione di indicatori di compromissione. L’attacco si verifica quando il dispositivo iOS preso di mira riceve un messaggio tramite la piattaforma iMessage.
Il messaggio include un allegato che contiene un exploit. Questo exploit, creato esplicitamente come meccanismo a zero clic, attiva una vulnerabilità all’interno del sistema, consentendo l’esecuzione di codice dannoso senza richiedere alcuna interazione da parte dell’utente.
Successivamente, l’exploit avvia il recupero di ulteriori fasi dal server Command and Control (C&C). Queste fasi includono più exploit ideati specificamente per elevare i privilegi.
Una volta che il processo ha avuto successo, una piattaforma APT (Advanced Persistent Threat) completa viene scaricata dal server C&C, stabilendo il controllo assoluto sul dispositivo e sui dati dell’utente.
È interessante notare che il toolkit dannoso non è persistente, indicando che le limitazioni dell’ambiente iOS possono essere un fattore limitante. Tuttavia, i dispositivi potrebbero essere reinfettati al riavvio da un altro attacco.
Come proteggersi
Il team di Kaspersky sta conducendo un’indagine sul payload finale del malware, che opera con privilegi di root. Questo software dannoso possiede la capacità di raccogliere dati di sistema e dell’utente, nonché di eseguire codice arbitrario che viene scaricato come moduli plug-in dal server C&C.
Tuttavia, il team afferma che è possibile identificare in modo affidabile se un dispositivo è stato compromesso. Inoltre, quando un nuovo dispositivo viene configurato migrando i dati dell’utente da un dispositivo precedente, il backup iTunes di quel dispositivo manterrà tracce di compromissione avvenuta su entrambi i dispositivi, complete di timestamp precisi.
Il post sul blog di Kaspersky fornisce linee guida complete per determinare se il nostro dispositivo iOS è stato infettato dal malware. Il processo prevede l’utilizzo di alcune righe di comando nel terminale per installare il software e ispezionare file specifici per rilevare la presenza di malware:
- Crea un backup con idevicebackup2 con il comando “idevicebackup2 backup — full $backup_directory”.
- Installa MVT utilizzando il comando “pip install mvt”.
- Successivamente, gli utenti possono ispezionare il backup utilizzando il comando “mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory”.
- Infine, controlla il file timeline.csv per gli indicatori con le righe di utilizzo dei dati che menzionano il processo denominato “BackupAgent”.
Questo binario specifico è considerato obsoleto e normalmente non dovrebbe essere presente nella timeline di utilizzo del dispositivo durante il normale funzionamento.
È importante notare che questi passaggi richiedono un certo livello di competenza tecnica e dovrebbero essere tentati solo da utenti esperti. L’aggiornamento a iOS 16 è il modo migliore e più semplice per proteggersi.
Leggi o Aggiungi Commenti