Tiny V: Troyano de iOS que está infectando dispositivos con Jailbreak

Se ha alertado de la existencia de un nuevo troyano denominado Tiny V que se aprovecha de los dispositivos con Jailbreak. Los investigadores que lo descubrieron han emitido una advertencia a los usuarios de iPhone, sobretodo en China, ya que están siendo infectados sin saberlo, siempre y cuando hayan realizado el Jailbreak al dispositivo. Además, parece que la propagación del malware está siendo llevada a cabo a través de versiones piratas de software, generalmente con el pretexto de que son publicidad.

Entre las aplicaciones con las que se tiene que tener cuidado son las versiones de Youku, iQiYi y la de Watermelon, que son reproductores de video. Incluso del último parece ser que se ha distribuido a través de su sitio web oficial. Mientras tanto los otros reproductos ofrecen a los usuarios la posibilidad de no tener publicidad, pero con el regalo que supone la ejecución del troyano en tu dispositivo.

Figura 1: Tienda de aplicaciones no confiables en China con iQiYi y Youku

Utilizando una combinación de APIs, trucos en los ficheros plist y hookeando código, el malware descarga código desde Internet, instalando aplicaciones dentro de los dispositivos iOS. Lo interesante es ver cómo se comporta el malware, y esto se puede estudiar en el artículo que ha publicado la gente de Palo Alto. 

Tras la ejecución de la app que tiene el troyano, éste descarga un archivo ZIP. Este archivo está alojado en un servidor apt.appstt.com. El archivo que se descargaba desde aquí se denominaba deb.zip. En el fichero había 4 archivos que se enumeran a continuación:

• safemode.deb.
• freeDeamo/usr/bin/locka. Es un Mach-O que implementa un comportamiento malicioso.
• freeDeamo/Library/LaunchDaemons/com.locka.plist. Es el fichero plist que tiene la configuración para lanzarlo como demonio en iOS.
• freeDeamo/zipinstall. Es un shell script. 

Después de descargar y descomprimir el archivo se ejecutará el script de zipinstall e instalará locka con la configuración de com.locka.plist. En otras palabras se copia el fichero locka a /usr/bin y cambia su usuario y grupo a root, cambiando los permisos a 755. El fichero com.locka.plist se copia en /Library/LaunchDaemons, cambiando su usuario y grupo a root y cambiando permisos a 644. Después ejecuta /bin/launchctl para cargar el com.locka.plist. Después viene la conexión el servidor C2 para obtener comandos remotos.

Figura 2: El binario malicioso está instalado como un launch daemon

En resumen se puede decir que hay una mala noticia y una buena tras este hecho. La mala noticia es que los clientes de Apple que tienen el Jailbreak están aparentemente poniendo sus datos en riesgo, a través de la instalación de software de fuentes no fiables. No quiere decir que los que no tengan Jailbreak estén totalmente seguros, ya que se ha visto en diferentes casos como las aplicaciones de confianza extraen datos del dispositivo afectando a la privacidad de los usuarios. Solo hay que recordar el mes pasado el caso de InstaAgent que robaba credenciales del dispositivo. La buena noticia es que, después de 8 años desde que se lanzara el primer iPhone, los delincuentes todavía tienen que ir al extremo para infectar dispositivos iOS. Por supuesto estas dos afirmaciones son debatibles, pero en líneas generales se puede llegar a conclusiones similares.