El malware llegó bien a iOS |
En este instante el atacante puede utilizar la aplicación maliciosa para realizar envío de correos electrónicos, robo de credenciales u otros datos que se enecuentren en la aplicación legítima. Esto significa que el atacante puede robar credenciales bancarias de los usuarios mediante la sustitución de una aplicación de banca auténtica con un la interfaz idéntica. Sorprendemente, el malware puede acceder a los datos locales de la aplicación original, que no fue eliminada cuando se sustituyó la aplicación original. Estos datos pueden contener información en caché como emails, o incluso credenciales que, por supuesto, el malware puede utilizar para iniciar sesión en la cuenta del usuario.
El ataque funciona con la utilización de un mismo certificado digital que las grandes empresas utilizan para instalar aplicaciones, denominado provisioning profile - también una de las técnicas ya conocidas para instalar troyanos en iOS -. Con esto las empresas pueden instalar aplicaciones personalizadas en iPhone o iPad de los empleados, siempre y cuando tanto la aplicación legítima y la aplicación maliciosa, es decir utilizar el mismo identificador de paquete. El ataque requiere algún tipo de señuelo para engañar a un objetivo en la instalación de la aplicación maliciosa. Hay que tener claro que esta técnica, según informan los investigadores, no funciona contra aplicaciones preinstaladas como Safari Mobile. En el siguiente vídeo con el que podéis observar detalladamente el ataque y como funciona.
Figura 1: Vídeo demostrativo de funcionamiento de Masque
Figura 2: La aplicación de New Flappy Bird sustituye a la de Gmail |
En la imagen se puede ver que al principio el usuario dispone de 22 correos electrónicos pendientes de leer a través de la aplicación legítima de Gmail. Después la víctima es atraída para instalar una aplicación denominada New Flappy Bird. En el apartado d se puede ver como al instalar la app maliciosa se sustituye realmente a la de Gmail. Al abrir, en el apartado f, la aplicación de Gmail se observa el mensaje "yes, you are pwned" y la app tiene acceso a los datos en el contexto de la aplicación.
Figura 3: Recolección de correos electrónicos por el malware |
Buen destripe del malware
ResponderEliminar