Menú principal

jueves, 5 de febrero de 2015

Pawn Storm Operation: XAgent & MadCap spyware en iOS

La gente de Trend Micro han investigado una campaña de malware conocida en la industria de la Seguridad como Operación Pawn Storm, la cual apunta a dispositivos iOS. La aplicación maliciosa o malware puede robar fotos, mensajes de texto, contactos y otros datos de iPhone sin necesidad de que estén jailbrekeados. Por lo que se sabe hasta el momento el target ha sido el sector gubernamental, de defensa y de los medios de comunicación.

Trend Micro lo ha denominado XAgent. Este software espía utiliza el sistema de aprovisionamiento, provisioning profile, de Apple como vector de infección. Esta funcionalidad está destinada a empresas y desarrolladores que deseen distribuir aplicaciones a un pequeño grupo de personas, y la cual permite a los desarrolladores evadir el proceso de la App Store.

Figura 1: WhitePaper de Trend Micro sobre Pwn Storm Operation

Es un proceso costoso, ya que presenta múltiples notificaciones al usuario que va a instalar la aplicación. La elección de este vector de infección hace pensar que la Operación Pawn Storm apunta a individuos específicos, usuarios cercanos a los que han comenzado la campaña de malware

Figura 2: Estructuras de código de XAgent aportadas por Trend Micro

Trend Micro ha comentado que, dentro de lo malo, lo bueno el malware no puede ejecutarse de forma automática, es decir, se deben seguir unos pasos que tienen que hacer el usuario para instalarlo. Una vez instalado en el dispositivo iOS 7, XAgent se ejecuta sin un icono de aplicación y es capaz de automáticamente rearrancar. Este no es el caso de iOS 8, ya que aquí los usuarios se verían obligados a abrir manualmente la aplicación en caso de que se cerrara o el dispositivo se reiniciese. Debido a este hecho, Trend Micro piensa que el malware fue diseñado antes de que iOS 8 fuera lanzado.

Como se ha mencionado anteriormente, XAgent está diseñado para recoger los mensajes de texto, lista de contactos, imágenes, datos de geolocalización, información sobre las apps instaladas y los procesos en ejecución y comprueba el estado de la WiFi. También se puede configurar para iniciar la grabación de audio usando el micrófono del dispositivo y transferir dichas grabaciones a un servidor remoto, de lo que se ocupa otra pieza de malware que se ha llamado MadCap.

Figura 3: Estructuras de código de MadCap aportadas por Trend Micro

Se deben tener en cuenta una serie de buenas prácticas en el uso de los dispositivos móviles, y sobretodo en las fuentes de instalación de software. Los usuarios pueden mitigar el riesgo no haciendo clic en enlaces sospechosos, aunque parezca que la fuente es fiable.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares