Hace unos meses comentamos en Seguridad Apple la existencia de un malware que afectaba a dispositivos iOS denominado Xsser mRAT. Los investigadores que este troyano móvil sigue siendo una amenaza para los usuarios de dispositivos móviles, tanto de Android como de iOS. La empresa que descubrió el troyano fue Lacoon Mobile Security en Septiembre y ha informado de que existe una nueva campaña en países de Asia durante los meses de Octubre y Noviembre. David Fernández, jefe del equipo de PLXsert de Akamai, dijo que los ataques no han sido generalizados, pero esta RAT móvil está adaptada para ataques dirigidos a dispositivos.
Según el informe que ha preparado la gente de Akamai, podemos saber que el factor de infección es el Jailbreak. Lo que es asombroso, y se refleja en el informe es que solamente en China el 14% de los 60 millones de dispositivos iOS tiene Jailbreak.
Acceso remoto: Xsser mRAT
En el informe se especifica como se descubrió el troyano y como se descubrió una variante destinada a infectar dispositivos iOS surgió en el mercado, a través del Jailbreak. La aplicación se instala a través de un repositorio de Cydia y una vez el paquete se ha instalado y ejecutada se confirma la persistencia del malware. A continuación, se realiza comprobaciones del lado del servidor y se procede a la exportación de datos del dispositivo y ejecuta comandos remotos.
El paquete que se descarga con el malware es un archivo con extensión DEB, típica de los paquetes Debian. Consta de varios scripts de instalación un fichero Mach-O, nombre asociado a los binarios de Apple, ejecutable. Tras el proceso de extracción, el archivo postinst ejecuta una serie de comandos de bash para ajustar los permisos de los archivos.
Después se ejecuta un script denominado xsser.0day_t.sh, el cual es utilizado para instalar LaunchDaemon plist, otorgando persistencia al troyano. En la imagen se puede visualizar el segundo script lanzado por el malware.
Hosting de la aplicación maliciosa
Para distribuir Xsser mRAT debe ser subido en un repositorio de Cydia o ser almacenado en un host en Internet al que las posibles víctimas pudieran acceder para descargarlo. Según la gente de Akamai los métodos de infección son diversos en este caso, utilizando el SMS, el envío de emails, el uso de Cydia para su distribución, etcétera. Los usuarios deben agregar las fuentes a mano, o ser engañados para agregarlos. Es conocido que muchos usuarios añaden las fuentes sin ninguna garantía de que dicha fuente está a salvo de aplicaciones maliciosas.
Por ejemplo, myrepospace es un sitio web que ofrece alojamiento gratuito para fuentes de Cydia. Esto permite que usuario malicioso pueda subirlo y que las víctimas descarguen aplicaciones de dicho repositorio. Un ejemplo claro es el caso de flappybird a través de Cydia u otros juegos populares que se venden en la AppStore. Se puede utilizar técnicas de phishing para conseguir que los usuarios inserten el repositorio. Esta es una de las vías para que Xsser sea distribuido, pero como comentamos anteriormente hay otras que se utilizan, como el envío de SMS, email, etcétera.
Al final del informe se proprociona una serie de recomendaciones para prevenir la infección del dispositivo iOS. Entre ellas destacan el evitar utilizar conexiones inalámbricas no seguras, utilizar conexiones públicas, utilizar VPN en caso de estar en un entorno no seguro para realizar cualquier operación, ignorar conexiones dónde haya contenido de dudosa procedencia, incluso se habla de la posibilidad de ser víctima de ataques GSM, y de la dificultad de detectarlos por parte del usuario.
Según el informe que ha preparado la gente de Akamai, podemos saber que el factor de infección es el Jailbreak. Lo que es asombroso, y se refleja en el informe es que solamente en China el 14% de los 60 millones de dispositivos iOS tiene Jailbreak.
Acceso remoto: Xsser mRAT
En el informe se especifica como se descubrió el troyano y como se descubrió una variante destinada a infectar dispositivos iOS surgió en el mercado, a través del Jailbreak. La aplicación se instala a través de un repositorio de Cydia y una vez el paquete se ha instalado y ejecutada se confirma la persistencia del malware. A continuación, se realiza comprobaciones del lado del servidor y se procede a la exportación de datos del dispositivo y ejecuta comandos remotos.
El paquete que se descarga con el malware es un archivo con extensión DEB, típica de los paquetes Debian. Consta de varios scripts de instalación un fichero Mach-O, nombre asociado a los binarios de Apple, ejecutable. Tras el proceso de extracción, el archivo postinst ejecuta una serie de comandos de bash para ajustar los permisos de los archivos.
Figura 1: Contenido del fichero bash |
Después se ejecuta un script denominado xsser.0day_t.sh, el cual es utilizado para instalar LaunchDaemon plist, otorgando persistencia al troyano. En la imagen se puede visualizar el segundo script lanzado por el malware.
Figura 2: Obtención de persistencia por Xsser |
Hosting de la aplicación maliciosa
Para distribuir Xsser mRAT debe ser subido en un repositorio de Cydia o ser almacenado en un host en Internet al que las posibles víctimas pudieran acceder para descargarlo. Según la gente de Akamai los métodos de infección son diversos en este caso, utilizando el SMS, el envío de emails, el uso de Cydia para su distribución, etcétera. Los usuarios deben agregar las fuentes a mano, o ser engañados para agregarlos. Es conocido que muchos usuarios añaden las fuentes sin ninguna garantía de que dicha fuente está a salvo de aplicaciones maliciosas.
Figura 3: myrepospace |
Por ejemplo, myrepospace es un sitio web que ofrece alojamiento gratuito para fuentes de Cydia. Esto permite que usuario malicioso pueda subirlo y que las víctimas descarguen aplicaciones de dicho repositorio. Un ejemplo claro es el caso de flappybird a través de Cydia u otros juegos populares que se venden en la AppStore. Se puede utilizar técnicas de phishing para conseguir que los usuarios inserten el repositorio. Esta es una de las vías para que Xsser sea distribuido, pero como comentamos anteriormente hay otras que se utilizan, como el envío de SMS, email, etcétera.
Al final del informe se proprociona una serie de recomendaciones para prevenir la infección del dispositivo iOS. Entre ellas destacan el evitar utilizar conexiones inalámbricas no seguras, utilizar conexiones públicas, utilizar VPN en caso de estar en un entorno no seguro para realizar cualquier operación, ignorar conexiones dónde haya contenido de dudosa procedencia, incluso se habla de la posibilidad de ser víctima de ataques GSM, y de la dificultad de detectarlos por parte del usuario.
No hay comentarios:
Publicar un comentario