Han surgido más detalles sobre el implante de software espía que se entrega a los dispositivos iOS como parte de una campaña llamada Operación Triangulación.
Kaspersky, que descubrió la operación después de convertirse en uno de los objetivos a principios de año, dijo que el malware tiene una vida útil de 30 días, después de lo cual se desinstala automáticamente a menos que los atacantes extiendan el período de tiempo.
La empresa rusa de ciberseguridad ha puesto un nombre en código a la puerta trasera TriánguloDB.
«El implante se implementa después de que los atacantes obtengan privilegios de root en el dispositivo iOS de destino mediante la explotación de una vulnerabilidad del kernel», investigadores de Kaspersky dicho en un nuevo informe publicado hoy.
«Se implementa en la memoria, lo que significa que todos los rastros del implante se pierden cuando se reinicia el dispositivo. Por lo tanto, si la víctima reinicia su dispositivo, los atacantes tienen que volver a infectarlo enviando un iMessage con un archivo adjunto malicioso, iniciando así todo cadena de explotación de nuevo».
La Operación Triangulación implica el uso de exploits sin clic a través de la plataforma iMessage, lo que permite que el software espía controle por completo el dispositivo y los datos del usuario.
«El ataque se lleva a cabo utilizando un iMessage invisible con un archivo adjunto malicioso que, utilizando una serie de vulnerabilidades en el sistema operativo iOS, se ejecuta en un dispositivo e instala software espía», Eugene Kaspersky, CEO de Kaspersky, previamente. dicho.
«La implementación del spyware está completamente oculta y no requiere ninguna acción por parte del usuario».
TriangleDB, escrito en Objective-C, forma el quid de la estructura encubierta. Está diseñado para establecer conexiones cifradas con un servidor de comando y control (C2) y enviar periódicamente una baliza de latido que contiene los metadatos del dispositivo.
El servidor, por su parte, responde a los mensajes de latido con uno de los 24 comandos que hacen posible volcar los datos del llavero de iCloud y cargar módulos Mach-O adicionales en la memoria para recopilar datos confidenciales.
Esto incluye contenido de archivos, geolocalización, aplicaciones iOS instaladas y procesos en ejecución, entre otros. Las cadenas de ataque culminan con el borrado del mensaje inicial para tapar las huellas.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Un examen más detallado del código fuente ha revelado algunos aspectos inusuales en los que los autores del malware se refieren al descifrado de cadenas como «unmunging» y asignan nombres de la terminología de la base de datos a archivos (registro), procesos (esquema), servidor C2 (servidor DB) y geolocalización. información (estado de la base de datos).
Otro aspecto destacable es la presencia de la rutina «populateWithFieldsMacOSOnly». Si bien este método no se menciona en ninguna parte en el implante de iOS, la convención de nomenclatura plantea la posibilidad de que TriangleDB también pueda usarse como arma para apuntar a dispositivos macOS.
«El implante solicita múltiples derechos (permisos) del sistema operativo», dijeron los investigadores de Kaspersky.
«Algunos de ellos no se utilizan en el código, como el acceso a la cámara, el micrófono y la libreta de direcciones, o la interacción con dispositivos a través de Bluetooth. Por lo tanto, las funcionalidades otorgadas por estos derechos pueden implementarse en módulos».
Actualmente no se sabe quién está detrás de la campaña y cuáles son sus objetivos finales. Apple, en una declaración anterior compartida con The Hacker News, dijo que «nunca ha trabajado con ningún gobierno para insertar una puerta trasera en ningún producto de Apple y nunca lo hará».
El gobierno ruso, sin embargo, ha señalado con el dedo a los EE. UU., acusándolo de entrar en «varios miles» de dispositivos Apple pertenecientes a suscriptores nacionales y diplomáticos extranjeros como parte de lo que afirmó ser una operación de reconocimiento.