Menú principal

jueves, 13 de noviembre de 2014

WireLurker: El ataque Masque amenaza, ¿para quién?

El malware llegó bien a iOS
Ya hemos hablado por aquí sobre WireLurker. Sabemos que es un malware que ha destapado algunas carencias en temas de seguridad en el mundo iOS & OS X, y que ha evolucionado la forma de trabajar de los creadores de software malicioso para los dispositivos móviles de Apple. En los últimos días también hemos podido observar cómo se mueve Apple para evitar infecciones de WireLurker en sus usuarios. Las últimas noticias no paran de hablar del ataque Masque, que según han descrito investigadores de la empresa de seguridad FireEye, se basa en infectar el dispositivo y el poder de sustituir aplicaciones legítimas de banca, correo electrónico y otro tipo de aplicaciones instaladas en el dispositivo. 

En este instante el atacante puede utilizar la aplicación maliciosa para realizar envío de correos electrónicos, robo de credenciales u otros datos que se enecuentren en la aplicación legítima. Esto significa que el atacante puede robar credenciales bancarias de los usuarios mediante la sustitución de una aplicación de banca auténtica con un la interfaz idéntica. Sorprendemente, el malware puede acceder a los datos locales de la aplicación original, que no fue eliminada cuando se sustituyó la aplicación original. Estos datos pueden contener información en caché como emails, o incluso credenciales que, por supuesto, el malware puede utilizar para iniciar sesión en la cuenta del usuario. 

El ataque funciona con la utilización de un mismo certificado digital que las grandes empresas utilizan para instalar aplicaciones, denominado provisioning profile - también una de las técnicas ya conocidas para instalar troyanos en iOS -. Con esto las empresas pueden instalar aplicaciones personalizadas en iPhone o iPad de los empleados, siempre y cuando tanto la aplicación legítima y la aplicación maliciosa, es decir utilizar el mismo identificador de paquete. El ataque requiere algún tipo de señuelo para engañar a un objetivo en la instalación de la aplicación maliciosa. Hay que tener claro que esta técnica, según informan los investigadores, no funciona contra aplicaciones preinstaladas como  Safari Mobile. En el siguiente vídeo con el que podéis observar detalladamente el ataque y como funciona.

Figura 1: Vídeo demostrativo de funcionamiento de Masque

La vulnerabilidad parece que está en manos de Apple desde Julio, pero por el momento sigue siendo funcional. En la siguiente imagen se puede visualizar un ejemplo en el que aprovechando el ataque Masque, un atacante puede engañar a la víctima para instalar una aplicación con un nombre engañoso hecho a mano por el atacante, por ejemplo Nueva Flappy Bird, y el sistema operativo va a usarla para reemplazar una aplicación legítima con el mismo identificador de paquete. 

Figura 2: La aplicación de New Flappy Bird sustituye a la de Gmail

En la imagen se puede ver que al principio el usuario dispone de 22 correos electrónicos pendientes de leer a través de la aplicación legítima de Gmail. Después la víctima es atraída para instalar una aplicación denominada New Flappy Bird. En el apartado d se puede ver como al instalar la app maliciosa se sustituye realmente a la de Gmail. Al abrir, en el apartado f, la aplicación de Gmail se observa el mensaje "yes, you are pwned" y la app tiene acceso a los datos en el contexto de la aplicación.

Figura 3: Recolección de correos electrónicos por el malware
La sorpresa de lo que uno se puede encontrar en el contexto de una aplicación es ilimitada, y el malware lo aprovecha para recolectar información sobre ello. Los correos electrónicos almacenados en caché pueden ser accedidos por el malware, tal y como podemos ver en la siguiente imagen. Hay que tener en cuenta que este vector de ataque se realiza a través de la instalación de una aplicación maliciosa, a través de conectividad inalámbrica con Internet, y sin necesidad de utilizar el USB para infectar el dispositivo.

1 comentario:

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares