La gente de Trend Micro han investigado una campaña de malware conocida en la industria de la Seguridad como Operación Pawn Storm, la cual apunta a dispositivos iOS. La aplicación maliciosa o malware puede robar fotos, mensajes de texto, contactos y otros datos de iPhone sin necesidad de que estén jailbrekeados. Por lo que se sabe hasta el momento el target ha sido el sector gubernamental, de defensa y de los medios de comunicación.
Trend Micro lo ha denominado XAgent. Este software espía utiliza el sistema de aprovisionamiento, provisioning profile, de Apple como vector de infección. Esta funcionalidad está destinada a empresas y desarrolladores que deseen distribuir aplicaciones a un pequeño grupo de personas, y la cual permite a los desarrolladores evadir el proceso de la App Store.
Es un proceso costoso, ya que presenta múltiples notificaciones al usuario que va a instalar la aplicación. La elección de este vector de infección hace pensar que la Operación Pawn Storm apunta a individuos específicos, usuarios cercanos a los que han comenzado la campaña de malware.
Figura 1: WhitePaper de Trend Micro sobre Pwn Storm Operation |
Es un proceso costoso, ya que presenta múltiples notificaciones al usuario que va a instalar la aplicación. La elección de este vector de infección hace pensar que la Operación Pawn Storm apunta a individuos específicos, usuarios cercanos a los que han comenzado la campaña de malware.
Trend Micro ha comentado que, dentro de lo malo, lo bueno el malware no puede ejecutarse de forma automática, es decir, se deben seguir unos pasos que tienen que hacer el usuario para instalarlo. Una vez instalado en el dispositivo iOS 7, XAgent se ejecuta sin un icono de aplicación y es capaz de automáticamente rearrancar. Este no es el caso de iOS 8, ya que aquí los usuarios se verían obligados a abrir manualmente la aplicación en caso de que se cerrara o el dispositivo se reiniciese. Debido a este hecho, Trend Micro piensa que el malware fue diseñado antes de que iOS 8 fuera lanzado.
Como se ha mencionado anteriormente, XAgent está diseñado para recoger los mensajes de texto, lista de contactos, imágenes, datos de geolocalización, información sobre las apps instaladas y los procesos en ejecución y comprueba el estado de la WiFi. También se puede configurar para iniciar la grabación de audio usando el micrófono del dispositivo y transferir dichas grabaciones a un servidor remoto, de lo que se ocupa otra pieza de malware que se ha llamado MadCap.
Se deben tener en cuenta una serie de buenas prácticas en el uso de los dispositivos móviles, y sobretodo en las fuentes de instalación de software. Los usuarios pueden mitigar el riesgo no haciendo clic en enlaces sospechosos, aunque parezca que la fuente es fiable.
Figura 3: Estructuras de código de MadCap aportadas por Trend Micro |
Se deben tener en cuenta una serie de buenas prácticas en el uso de los dispositivos móviles, y sobretodo en las fuentes de instalación de software. Los usuarios pueden mitigar el riesgo no haciendo clic en enlaces sospechosos, aunque parezca que la fuente es fiable.
No hay comentarios:
Publicar un comentario