Hace unos meses comentamos en
Seguridad Apple la existencia de
un malware que afectaba a dispositivos iOS denominado Xsser mRAT. Los investigadores que este troyano móvil sigue siendo una amenaza para los usuarios de dispositivos móviles, tanto de
Android como de
iOS. La empresa que descubrió el troyano fue
Lacoon Mobile Security en Septiembre y ha informado de que existe una nueva campaña en países de
Asia durante los meses de Octubre y Noviembre.
David Fernández, jefe del equipo de
PLXsert de
Akamai, dijo que los ataques no han sido generalizados, pero esta
RAT móvil está adaptada para ataques dirigidos a dispositivos.
Según
el informe que ha preparado la gente de Akamai, podemos saber que el factor de infección es el
Jailbreak. Lo que es asombroso, y se refleja en el informe es que solamente en
China el
14% de los
60 millones de dispositivos
iOS tiene
Jailbreak.
Acceso remoto: Xsser mRAT
En el informe se especifica como se descubrió el troyano y como se descubrió una variante destinada a infectar dispositivos
iOS surgió en el mercado, a través del
Jailbreak. La aplicación se instala a través de un repositorio de
Cydia y una vez el paquete se ha instalado y ejecutada se confirma la persistencia del malware. A continuación, se realiza comprobaciones del lado del servidor y se procede a la exportación de datos del dispositivo y ejecuta comandos remotos.
El paquete que se descarga con el malware es un archivo con extensión
DEB, típica de los paquetes
Debian. Consta de varios scripts de instalación un fichero
Mach-O, nombre asociado a los binarios de
Apple, ejecutable. Tras el proceso de extracción, el archivo
postinst ejecuta una serie de comandos de
bash para ajustar los permisos de los archivos.
|
Figura 1: Contenido del fichero bash |
Después se ejecuta un
script denominado
xsser.0day_t.sh, el cual es utilizado para instalar
LaunchDaemon plist, otorgando persistencia al troyano. En la imagen se puede visualizar el segundo
script lanzado por el malware.
|
Figura 2: Obtención de persistencia por Xsser |
Hosting de la aplicación maliciosa
Para distribuir
Xsser mRAT debe ser subido en un repositorio de
Cydia o ser almacenado en un host en Internet al que las posibles víctimas pudieran acceder para descargarlo. Según la gente de
Akamai los métodos de infección son diversos en este caso, utilizando el
SMS, el envío de emails, el uso de
Cydia para su distribución, etcétera. Los usuarios deben agregar las fuentes a mano, o ser engañados para agregarlos. Es conocido que muchos usuarios añaden las fuentes sin ninguna garantía de que dicha fuente está a salvo de aplicaciones maliciosas.
|
Figura 3: myrepospace |
Por ejemplo,
myrepospace es un sitio web que ofrece alojamiento gratuito para fuentes de
Cydia. Esto permite que usuario malicioso pueda subirlo y que las víctimas descarguen aplicaciones de dicho repositorio. Un ejemplo claro es el caso de
flappybird a través de
Cydia u otros juegos populares que se venden en la
AppStore. Se puede utilizar técnicas de
phishing para conseguir que los usuarios inserten el repositorio. Esta es una de las vías para que
Xsser sea distribuido, pero como comentamos anteriormente hay otras que se utilizan, como el envío de
SMS, email, etcétera.
Al final del informe se proprociona una serie de recomendaciones para prevenir la infección del dispositivo
iOS. Entre ellas destacan el evitar utilizar conexiones inalámbricas no seguras, utilizar conexiones públicas, utilizar
VPN en caso de estar en un entorno no seguro para realizar cualquier operación, ignorar conexiones dónde haya contenido de dudosa procedencia, incluso se habla de la posibilidad de ser víctima de ataques
GSM, y de la dificultad de detectarlos por parte del usuario.