Cuidado con el cable Lightning que conectas a tu ordenador Apple

En la pasada DEFCON 2019, un investigador llamado Mike Grove, demostró que los cables USB, incluso aquellos que son idénticos a los Lightning, pueden poner en riesgo tu dispositivo. Algunos de ellos incluso se vendieron durante la conferencia, pero ahora una tienda de dispositivos para la ciberseguridad online llamada Hak5 también los vende para todo el mundo. Eso sí, no son baratos, el precio ronda los 100$. Vamos a ver un poco más en profundidad el peligro de estos cables "fake" (aunque hacen su función).

Estos cables son exactamente iguales que los cables Lightning originales que vienen con un iPhone o un iPad. La diferencia es que este cable tiene "embebido" un punto de acceso inalámbrico dentro del conector USB además de otras características como permitir payloads en el arranque o incluso borrar la firmware del mismo cable para volverse totalmente inofensivo y así borrar huellas. En el momento que el cable se conecta al ordenador (para acceder al iPhone o cargarlo, por ejemplo), puede ser activado de forma remota para intentar robar las credenciales del usuario o incluso instalar malware.

Figura 1. Anuncio de venta del cable O.MG. Fuente.

Cables de este tipo llevan existiendo desde hace bastantes años y hemos hablado incluso alguna vez en este blog (mira este ejemplo de 2015). De hecho, la misma NSA fabricó un cable bastante parecido a este el cual llamó CottonMouth para permitir instalar software a través del mismo. Pero Mike no ha necesitado los recursos de la NSA, de hecho lo fabricó en su cocina como un proyecto personal abriendo el conector e instalando el hardware necesario (el cual no es difícil de encontrar). Antes de fabricar este cable Lightning ya estuvo probando modificando los cargadores USB-C de los portátiles Apple. 

Figura 2. Detalle del "implante" dentro de la carcasa del conector USB. Fuente.

Como siempre se dice en estos casos, este cable está destinado a investigadores de ciberseguridad o equipos de Red Team. Según MG, Mike Grove, el cual lo ha bautizado como O.MG, al vender el cable en tiendas online permitirá que todo el mundo se tome en serio este problema y de esa forma encontrar una posible solución para proteger los equipos ante este problema. Así que a partir de ahora, conectar un cable del cual no estemos seguros que está totalmente verificado, puede ser un riesgo más de seguridad. Por cierto, si ya estabas pensando en comprarlo, tendrás que esperar un poco porque está "sold out". 

Cuando un "hacker" iba a migrar iOS 13 al iPhone 6 y todo quedó en un (Epic) fake

El nuevo iOS versión 13 será compatible con algunos modelos de iPhone de hace ya unos años como el iPhone 6s y el 6s Plus, pero no para la versión 6 ni 6 Plus. Aún existe una gran comunidad de usuarios que tienen estos modelos de teléfonos y la verdad, que la nueva versión no esté disponible para este modelo no ha gustado demasiado. Hasta que hace unos días apareció un supuesto "hacker" llamado @NightigerFTW mostrando una solución milagrosa ...

@NightigerFTW (en Twitter) publicó algunas fotos en las cuales mostraba el nuevo iOS 13 ejecutándose en un iPhone 6. Al parecer pudo instalar la versión iOS 13 developer beta 1 en su iPhone 6, algo que no se puede hacer por defecto. Según @NightigerFTW le costó más de 6 días conseguirlo gracias a un fallo de seguridad (no especificó cuál exactamente). Algunas de las fotos publicadas también mostraban el famoso nuevo modo oscuro y algunas funciones iCloud y de AppleID.

Figura 1. Fotos publicadas por @NightigerFTW donde supuestamente mostraba el "hack" iOS 13 en un iPhone 6. Fuente.

Pero aún hay más. También anunció que tenía intención de publicar una versión IPWS (el formato que Apple utiliza para actualizaciones de software) y así ponerlo a disposición de todos los usuarios de este modelo de iPhone. De esta forma se podría utilizar hasta que Apple solucionara la supuesta vulnerabilidad utilizada para conseguir este "port". Por otro lado, @NightigerFTW anunciaba que no había conseguido instalar iOS 13 en un iPhone 5s, sin aportar ningún detalle ni prueba del intento.

Figura 2. Más imágenes en uno de los tweets publicados. Fuente.

Pues lamentablemente, al final de todo el "hype" generado, resultó ser una "fake new". Al cabo de unos días y después de que algunos medios importantes como ioshackers se hicieran eco de este logro, @NightigerFTW publicó un tweet donde se disculpaba y decía que realmente era una broma para, tal y como dice en el su tweet, unas "4 o 7 personas".  Algunos usuarios en Reddit comenzaron a dudar de este logro cuando le hicieron varias preguntas técnicas que no fue capaz de responder. 

Figura 3. Tweet donde @NightigerFTW confiesa que fue una broma. Fuente.

De hecho, toda la comunidad jailbreak se echó encima de él para presionarle y que publicara pruebas sólidas. Finalmente @NightigerFTW ha cambiado su cuenta de Twitter a privada después de este hecho que claramente, se le ha ido de las manos. De todas formas, y dejando de lado esta broma de mal gusto, iOS 13 funciona en los chips A8 (el mismo que lleva el iPhone 6) ya que el iPad Air 2 y el iPad mini 4 llevan esta CPU y se puede instalar iOS 13. Es posible que la limitación esté sujeta a la memoria RAM y no a la CPU, ya que el iPhone 6 tiene sólo 1GB. 

Sea como sea, cada día vemos que es más complicado creernos todas las noticias que van apareciendo. Desde luego, a partir de ahora cuando alguien diga que ha conseguido realizar un logro similar a este, seguro que le pedirán algo más que unas fotos publicadas en Twitter para probarlo.

Apple reduce el negocio multimillonario del fraude de las reparaciones de iPhone en China

Apple ha conseguido reducir las pérdidas debido a un elaborado fraude relacionado con las reparaciones de los iPhone en China. Dicho engaño le estaba costando miles de dólares a la empresa de la manzana y por eso ha tenido que tomar cartas en el asunto. Apple ya detectó este fraude en 2013 y ha tenido éxito en erradicarlo, pero ahora también esta práctica se está extendiendo a otros países como Turquía o Emiratos Árabes.

Los ladrones conseguían iPhones comprados de segunda mano o robados para luego extraer los componentes más sofisticados y valiosos, como por ejemplo, el procesador o algunas placas específicas. Por otro lado, sustituían estos componentes originales por otros falsos para luego ir a la tienda Apple para que los repararan y de esa forma obtener el iPhone con los componentes originales. Para ello los ladrones esperaban en la puerta de la tienda Apple y "contrataban" a personas para que hicieran el trabajo de devolver el iPhone, pagándoles por el tiempo empleado.

Figura 1. Interior de un iPhoneX. Fuente.

Los primeros casos de este fraude aparecieron en la ciudad de Shenzhen, conocida por el alto número de bandas organizadas y mafias pero también por ser la localidad que tiene los mayores fabricantes de componentes electrónicos como por ejemplo, Foxconn. En los primeros seis meses desde su apertura, vieron como los casos de reparaciones pasaron de 200 a 2.000, más de los casos que llegan a la tienda Apple que se encuentra en la Quinta Avenida de Nueva York.

Para evitarlo, Apple designó un sistema de reservas para el Genius Bar el cual entre otros datos, pedía una prueba de propiedad del iPhone. Por otro lado, también utilizaba un tinte especial que extendían por las baterías, el cual sólo era visible con una luz especial de alta frecuencia y así podían detectar las falsas durante las reparaciones. También desarrollaron un software especial para detectar estos componentes "fake" instalados en el iPhone. Estas medidas funcionaron ya que las reparaciones cayeron hasta un 60%. Ahora tendrán que vigilar las otras ciudades en las cuales se está extendiendo esta práctica ilegal.

Un Rogue AV que suplantaba a Symantec e infectaba a los equipos Mac

Por el mes de marzo hablamos en Seguridad Apple sobre Proton, un malware que tenía un precio en la dark web en bitcoins de unos 40 BTC en dicho momento. Este malware ha aparecido el pasado mes infectando a diferentes usuarios de Mac, los cuales habían descargado Elmedia Player. El 20 de noviembre, investigadores de Malwarebytes Lab descubrieron que los atacantes utilizaban un falso sitio web de Symantec para propagar el malware Proton a usuarios de macOS. En el sitio, los delincuentes publicaban un "análisis" sobre la existencia de una amenaza llamada CoinThief. 

Este falso análisis continuaba explicando cómo se descubrió CoinThief en 2014 y cómo los usuarios podían protegerse de dicha amenaza instalando "Symantec Malware Detector", un programa que realmente no existe. En realidad, el archivo de descarga es el malware Proton, creado para el robo de datos. Según uno de los investigadores, el sitio web es una buena imitación del blog real de Symantec, incluso duplican el mismo contenido. Además, los atacantes crearon también perfiles de Twitter falsos para difundir el sitio web fraudulento en redes sociales. Por último, y quizá más potente de esta suplantación es que el sitio utilizaba un certificado SSL emitido por la empresa de seguridad Comodo y no por Symantec. 

Figura 1: Symantec Malware Detector

Los usuarios que instalaron el archivo en sus Mac pueden estar bajo amenaza ya que el malware Proton puede tener privilegios de acceso como root y permitir que un atacante obtenga el control completo de un dispositivo específico. También ejecuta comandos de consola en tiempo real y administrador de archivos, registro de teclas, conectvidiad SSH y VNC, capturas de pantalla, etcétera. Apple ya es consciente del problema, ha revocado el certificado utilizado para firmar el malware. Esto evitará que Symantec Malware Detector infecte aún más a los usuarios.

Warning: Campaña de phishing en Alemania para robarte el Apple ID

Hoy, de nuevo, traemos una alerta sobre campañas de phishing relacionadas con la marca de Cupertino, con Apple. Los ciberdelincuentes siguen tratando de acceder a las cuentas de iCloud, ya sea por llamada telefónica o por mensaje de texto. Se intenta dirigir a los usuarios a páginas de inicio falsas y están allí para introducir sus datos. En el instante que el usuario introduce el Apple ID, éste es arrebatado por el delincuente, por lo que podría ser utilizado si no tiene un método de segundo factor de autenticación. En esta ocasión, la ola de ataques de phishing está ocurriendo en Alemania. De diferentes formas, los delincuentes tratan de hacerse con las contraseñas y otros datos relacionados con la cuenta de iCloud.

El modus operandi está siendo el envío de un SMS a la víctima en el que se indica que su cuenta de iCloud ha sido utilizada por un tercero. Se indica al usuario que si no es él el que ha utilizado la cuenta, debe cambiar la contraseña. Por supuesto, el vínculo o enlace que se envía llega a un sitio falso de inicio de sesión de iCloud. En este instante, el usuario está a merced del delincuente. Si el usuario introduce sus datos en el sitio web, estará regalando dicha información a los delincuentes que, a posteriori, podrá utilizar dicha información.

Figura 1: Fake de Apple ID

También, se está utilizando la técnica de informar al usuario que su iPhone perdido ha sido localizado y que debe acceder con sus credenciales al sitio del Apple ID, lo cual es totalmente falso. Como se ve hay distintas formas de llamar la atención de un usuario para robarle la información valiosa de su cuenta de Apple. Cada vez que recibas un correo electrónico, un SMS o similar, debes desconfiar por defecto y no hacer clic en enlaces contenidos en los mismos. Lo mejor es introducir las direcciones a mano, como en el caso de appleid.apple.com. De esta forma, nos ahorraremos muchos sobresaltos.

Utilizan malware de Mac para espiar a activistas iraníes

Cada día vemos como muchos usuarios cambian sus hábitos y se adentran en el mundo Mac. Por esta razón, estamos viendo como, supuestamente, muchos activistas o personas influyentes son espiadas a través de software hecho para sistemas Mac, ya que estos activistas utilizan estos equipos. La noticia de hoy es que activistas iraníes pueden estar siendo espiados y trackeados a través de malware para Mac, según se indica en el informe publicado. Este hecho pone de relieve el flujo constante de gobiernos que interrumpen y rastrean movimientos activistas. 

Collin Anderson, uno de los investigadores de seguridad detrás el informe comentó que la utilización de plataformas alternativas, como el caso de OS X, hacen que también se busquen nuevas formas de espionaje orientadas a las plataformas alternativas. Los investigadores encontraron por primera vez un malware denominado MacDownloader en un sitio web que se hacia pasar por la empresa aeroespacial estadounidense United Technologies Corporation. Los investigadores ya habían vinculado este sitio a las campañas de malware iraní y sabían que era un sitio de ensayo para desplegar malware de Windows. El malware MacDownloader viene como una actualización falsa de Flash, siendo descargada por los objetivos. El malware se conecta a un servidor externo, con la intención de descargar código externo para el malware. Al mismo tiempo, MacDownloader transfiere información del sistema a un servidor controlado por el atacante, incluyendo el contenido del keychain y una lista de aplicaciones instaladas. También se solicita credenciales a la víctima, de manera fraudulenta.

Figura 1: Actualización falsa de Flash

Mientras que Chrome y Firefox no almacenan credenciales en el keychain, Safari y macOS si lo hacen.Esta informaciónes jugosa para los atacantes. A partir de aquí, los atacantes pueden entrar en cuentas de correo electrónico y redes sociales. Cuando se publicó el informe, VirusTotal no marcaba el malware como tal, por lo que se puede decir que el malware pasaba desapercibido. Por último, en el informe se subraya que los usuarios de Mac pueden sentir una falsa sensación de seguridad, por el simple hecho de utilizar Mac y esto deben vigilarlo, porque como se puede ver, estos son usuarios son objetivo.

SpyNote RAT se hace pasar por Netflix para robarte

Cada día que pasa los dispositivos móviles se utilizan más y más. Los usuarios tienen un mayor apego y los utilizan con mayor frecuencia. La noticia de hoy nos habla de Netflix y un malware o RAT que se aprovecha de los usuarios para robarles información. La aplicación de Netflix tiene de millones de usuarios, por lo que ha captado la atención de los usuarios maliciosos, los cuales están explotando la popularidad de Netflix con el objetivo de propagar el malware. El equipo de investigación de ThreatLabZ encontró una falsa aplicación de Netflix, la cual resultó ser una variante de SpyNote RAT, un troyano que permite el acceso remoto.

SpyNote RAT permite realizar una variedad de funciones como, por ejemplo, activar el micrófono del dispositivo y escuchar las conversaciones en directo, ejecutar comandos en el dispositivo, copiar archivos desde el dispositivo y enviarlos a la ubicación de los atacantes, grabar capturas de pantalla, visualizar contactos, leer mensajes de SMS, etcétera. El Spyware se muestra como una aplicación de Netflix y una vez instalado muestra el icono encontrado en la aplicación de Netflix de Google Play. Tran pronto como el usuario hace clic en el icono de la app se ejecuta el malware. El icono desaparece de la pantalla y parece que no ocurre nada, pero sí ocurre. Es un truco entre los desarrolladores de malware, el usuario piensa que la aplicación puede haber sido eliminada.

Figura 1: Netflix fake

La app se pone en contacto con el C&C utilizando para ello servicios DNS gratuitos. La ejecución de comandos puede crear estragos en la víctima. La captura de pantalla y grabación de audio también es realizada de forma activa con este malware, por lo que el malware puede tomar capturas de pantalla de lo que ocurra en el terminal y utilizar el micrófono para grabar conversaciones o conversaciones cercanas al terminal. También, se produce un robo de SMS de dispositivos afectados, lo cual podría afectar a los TOTP. Por supuesto, la agenda es uno de los elementos que también se ven afectados. Hay que evitar la descarga y ejecución de aplicaciones de terceros o fuera de los market oficiales.

Apple retira varias aplicaciones fraudulentas de AppStore

Las aplicaciones fake siempre han sido uno de los problemas en la privacidad de los usuarios y ponen en riesgo ésta. Históricamente, este tipo de aplicaciones han sido un problema para Apple, ya que aparecen diversas imitaciones. Ha habido una última ronda en China, centrándose en marcas sin aplicaciones dedicadas con el objetivo de robar información de clientes e información financiera. Según un informe del New York Times, hay una o una serie de personas que están poblando la AppStore con aplicaciones falsas para diversas marcas como Nike o Puma. El productor de aplicaciones lleva como nombre Footlocke Sports. 

Apple ha decidido eliminar el último lote de Footlocke Sports. Las aplicaciones intentaban inducir a los compradores a comprar productos que nunca llegarían, y además se recolectaba información del usuario y datos de la tarjeta de crédito. Apple ha comentado: "Nos esforzamos por ofrecer a los clientes la mejor experiencia posible, y tomamos su seguridad muy en serio". Además, se añadió que habían creado maneras para que los clientes y desarrolladores identificasen aplicaciones fraudulentas o sospechosas, las cuales la gente de Apple investiga de forma inmediata. Apple eliminó las aplicaciones ofensivas y seguirán realizando búsquedas sobre este tipo de aplicaciones.

Figura 1: Apps fraudulentas de Footlocke Sports

El proceso de revisión de Apple se centra más en la seguridad del dispositivo iOS en sí, en lugar de posibles fuentes de robo. Además, los asuntos de propiedad intelectual son una cuestión compleja. En este punto entra en conflicto las quejas de los programadores, los cuales se quejan de que el proceso de revisión es largo y no ágil. Por esta razón, Apple indica que los desarrolladores quieren una revisión rápida, y si quieren que se evalúe la aplicación en detalle, en función de dónde se envíen los datos, eso llevaría meses de revisión, es decir, una auditoría de código casi completa. El debate está servido, pero de momento las apps están eliminadas de la AppStore.

Location for WhatsApp: ¿Estafa o una mala descripción?

Hay una aplicación en la AppStore que puede llamar mucho la atención de los usuarios, esta aplicación es sin duda Location for WhatsApp. Así se llama la nueva aplicación que ha subido a los primeros puestos rápidamente. El tema está en que la nueva aplicación promete conocer la localización del resto de usuarios de tu agenda. Por ejemplo, si quieres saber dónde se encuentran tus hijos, tu pareja o la abuela solo tendrías que utilizar esta herramienta y lo tendrías todo controlado. Por desgracia, esta aplicación no hace realmente lo que dice. Solamente envía la localización del usuario a los contactos.

La funcionalidad de enviar la localización a los contactos está implementada en WhatsApp desde hace bastante tiempo, por lo que esta app no aporta nada. Muchos usuarios la están viendo como una estafa, ya que la app no es gratis, su coste es de 0,99 €. En el sitio web de iTunes podemos encontrarla y ver frases como "Localiza la ubicación de tus contactos de forma rápida en tiempo real". Lógicamente, esto no es verdad. Lo único que realiza la app es enviar tu localización a los contactos que indiques, sin más.

Figura 1: Imagen de Location for WhatsApp

Por supuesto, las críticas no se han hecho esperar. Los comentarios que han dejado en el sitio web dónde se aloja la aplicación son importantes. Después de que muchos usuarios compraran la aplicación y comprobar que no hacia lo prometido comenzaron a criticar a la desarrolladora. Frases como "La aplicación bien, te localiza aunque estés escondido debajo de una mesa" o "Que pájara está hecha Cristina Rodríguez, te estafa y te mangonea hábilmente. 1 pavo, pero claro... 1 pavo, 2 pavos a este paso va a montar una granja de pavos.". Los usuarios han hablado. ¿Estafa o una mala descripción?

Herramienta 3K para hacer Jailbreak de iOS 9.3.1 es FAKE

Hay muchos usuarios que están esperando el Jailbreak de la versión de iOS 9.3 y 9.3.1 como agua de mayo, y es que la comunidad Jailbreak está pasando por un período de sequía, ya que desde las primeras versiones de iOS 9 no disponemos de uno oficial. Se sabe que hay investigadores que lo han conseguido, pero no han hecho público el Jailbreak. La generación de esta ansiedad en los usuarios de iOS ha provocdo que los delincuentes y estafadores tengan una oportuniad de aprovecharse y tomar ventaja engañando a los usuarios para que descarguen lo que parece ser una herramienta de Jailbreak, pero no lo es.

La herrameinta se denomina 3K Jailbreak y dispone de un sitio web como cebo de la estafa. La estafa utiliza un nombre similar al de la herramienta 3K original. La herramienta fake afirma que es capaz de realizar el Jailbreak untethered a la versión iOS 9.3.1, así como a la beta 9.3.2. En este momento no hay herrramienta disponible que permita llevar a cabo el Jailbreak a estas versiones. Según se indica en la estafa, la herramienta es capaz de realizar Jailbreak sobre la versión de iOS 9.3.1 en un sistema Windows.

Figura 1: 3K Jailbreak falso para iOS

Si eres uno de los usuarios que espera el Jailbreak ignora la llamara de la herramienta 3K Jailbreak, ya que no sacarás ningún beneficio. La herramienta falsa puede robar datos personales o instalar un troyano en su equipo, además de dañar el dispositivo iOS. Seguiremos atentos para ver cuando sale el Jailbreak de las versiones actuales de iOS. De momento tenemos que conformarnos con el trabajo de algunos investigadores, aunque no se publique.

InstaAgent volvió a la AppStore con otro nombre

El pasado mes de Noviembre hablamos en Seguridad Apple de la aplicación IstaAgent, el cual era un cliente bastante popular de Instagram que estaba robando credenciales de los usuarios. La aplicación enviaba dicha información a un servidor externo. Apple eliminó la aplicación de la AppStore y la amenaza parecía erradicada. Ahora parece que el desarrollador que estaba detrás de dicha aplicación ha conseguido dos nuevas aplicaciones aprobadas por Apple y Google, ambas aplicaciones están robando credenciales de Instagram.

El investigador que descubrió la función maliciosa en la primera aplicación, es decir, en InstaAgent, publicó la semana pasada una entrada en la que las nuevas aplicaciones podían robar credenciales de la misma forma. Este investigador escribió un artículo dónde se detalla cómo capturar las credenciales que se envían al servidor remoto. La aplicación InstaAgent atajo a los usuarios de Instagram con la promesa de realizar un seguimiento de las personas que visitaban su perfil. Las dos nuevas aplicaciones hacen promesas similares.

Figura 1: InstaCare app que roba credenciales de Instagram

Ambas aplicaciones dicen que pueden mostrar un listado de usuarios que interactuan a menudo con una cuenta o perfil de Instagram, pidiendo permiso a los usuarios para iniciar sesión. En ese instante es dónde las credenciales son robadas y enviadas al servidor externo. El envío de los usuarios y contraseñas no se realizaba por HTTP, y sí por HTTPs, de esta forma se intentaba ocultar la evidencia. Varias revisiones en la AppStore afirman que después de utilizar aplicaciones maliciosas de este tipo, sus cuentas se vieron comprometidas con fotos a modo de spam. Tanto Apple como Google llevarán a cabo la eliminación de ambas apps.