Il fornitore di antivirus Kaspersky ha scoperto una campagna di malware mirata esplicitamente a infettare gli iPhone con iOS 15.7 tramite iMessage, ma può essere trovata e prevenuta.
Il team di Kaspersky ha identificato comportamenti potenzialmente sospetti provenienti da più dispositivi iOS. Tuttavia, a causa delle limitazioni di sicurezza che limitano l’esame interno diretto dei dispositivi iOS, l’azienda ha dovuto generare backup offline per capire meglio la situazione.
Questi backup sono stati poi sottoposti ad analisi utilizzando il mvt-ios (Mobile Verification Toolkit for iOS), con conseguente identificazione di indicatori di compromissione. L’attacco si verifica quando il dispositivo iOS preso di mira riceve un messaggio tramite la piattaforma iMessage.
Il messaggio include un allegato che contiene un exploit. Questo exploit, creato esplicitamente come meccanismo a zero clic, innesca una vulnerabilità all’interno del sistema, consentendo l’esecuzione di codice dannoso senza richiedere alcuna interazione da parte dell’utente.
Successivamente, l’exploit avvia il recupero di ulteriori fasi dal server Command and Control (C&C). Queste fasi includono più exploit ideati specificamente per elevare i privilegi.
Una volta che il processo ha avuto successo, una piattaforma APT (Advanced Persistent Threat) completa viene scaricata dal server C&C, stabilendo il controllo assoluto sul dispositivo e sui dati dell’utente. L’attacco elimina il messaggio iniziale e sfrutta l’allegato per mantenerne la natura segreta.
È interessante notare che il toolkit dannoso non è persistente, indicando che le limitazioni dell’ambiente iOS possono essere un fattore limitante. Tuttavia, i dispositivi potrebbero essere reinfettati al riavvio da un altro attacco.
Inoltre, Kaspersky ha indicato che l’attacco ha effettivamente avuto un impatto sui dispositivi che eseguono versioni iOS fino alla 15.7 di giugno 2023. Tuttavia, rimane incerto se la campagna sfrutti una vulnerabilità zero-day appena scoperta nelle versioni precedenti di iOS.
Il team di Kaspersky sta conducendo un’indagine sul payload finale del malware, che opera con privilegi di root. Questo software dannoso possiede la capacità di raccogliere dati di sistema e utente, nonché di eseguire codice arbitrario che viene scaricato come moduli plug-in dal server C&C.
Tuttavia, gli esperti dicono che è possibile identificare in modo affidabile se un dispositivo è stato compromesso. Inoltre, quando un nuovo dispositivo viene configurato migrando i dati dell’utente da un dispositivo precedente, il backup iTunes di quel dispositivo manterrà tracce di compromissione avvenuta su entrambi i dispositivi, complete di timestamp precisi.
Il post sul blog di Kaspersky fornisce linee guida complete per determinare se il tuo dispositivo iOS è stato infettato dal malware. Il processo prevede l’utilizzo dell’applicazione Terminale per installare il software e ispezionare file specifici.
- Crea un backup con idevicebackup2 con il comando “idevicebackup2 backup — full $backup_directory”.
- Successivamente, installa MVT utilizzando il comando “pip install mvt”.
- Successivamente, gli utenti possono ispezionare il backup utilizzando il comando “mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory”.
- Infine, controlla il file timeline.csv per gli indicatori con le righe di utilizzo dei dati che menzionano il processo denominato “BackupAgent”.
Questo binario specifico è considerato obsoleto e normalmente non dovrebbe essere presente nella sequenza temporale di utilizzo del dispositivo durante il normale funzionamento.
È importante notare che questi passaggi richiedono un certo livello di competenza tecnica e dovrebbero essere tentati solo da utenti esperti. L’aggiornamento a iOS 16 è il modo migliore e più semplice per proteggersi.