Ataque a iPhone aprovecha vulnerabilidades en Kernel y Safari

TrendMicro ha descubierto un interesante ataque a usuarios de iPhone. Este ataque del tipo "watering hole" ha estado apuntando a usuarios de iOS en Hong Kong. La campaña utiliza enlaces publicados en múltiples foros que supuestamente conducen a varias noticias. Si bien estos enlaces llevan a los usuarios a los sitios de noticias reales, también usan un iframe oculto para cargar y ejecutar código malicioso. Algunas de las noticias hacían referencia a COVID-19.

El código malicioso contiene vulnerabilidades que atacan vulnerabilidades presentes en iOS 12.1 y 12.2. Los usuarios que hagan clic en estos enlaces con dispositivos en riesgo descargarán una nueva variante de malware de iOS, que TrendMicro ha denominado lightSpy. A través de un fallo en Safari y un grave problema de ejecución de código en en Kernel (CVE-2019-8605), consiguen ejecutar código e instalar una app en los iOS 12.1 y 12.2.

La variante de malware es una puerta trasera modular que permite al atacante ejecutar comandos y shell de forma y manipular archivos en el dispositivo afectado. Esto permitiría a un atacante espiar el dispositivo de un usuario, así como tomar el control total del mismo. Contiene diferentes módulos para extraer datos del dispositivo infectado, que incluye:

• Historial de WiFi conectado
• Contactos
• Ubicación GPS
• Información de hardware
• Llavero iOS (keychain)
• Historial de llamadas telefónicas
• Historial del navegador Chrome y Safari
• Mensajes SMS
• Red WiFi disponible
• Direcciones IP de red local

Las aplicaciones de Messenger también están específicamente destinadas a la exfiltración de datos. Entre las aplicaciones específicamente dirigidas están:

• Telegram
• QQ
• WeChat

La investigación también descubrió una campaña similar dirigida a dispositivos Android en 2019. Se encontraron enlaces a archivos .APK maliciosos en varios canales públicos de Telegram relacionados con Hong Kong. Estos mensajes afirmaban que eran para varias aplicaciones legítimas, pero condujeron a aplicaciones maliciosas que podrían filtrar información del dispositivo, contactos y mensajes SMS. Esta familia de malware de Android es identificada como dmsSpy.

El diseño y la funcionalidad de la operación sugieren que la campaña no estaba destinada a cierto tipo de víctimas, sino que tiene como objetivo comprometer la mayor cantidad de dispositivos móviles posibles para la vigilancia y la puerta trasera del dispositivo. Llamaron a la campaña Operation Poisoned News en función de sus métodos de distribución.

Este documento de TrendMicro [PDF] proporciona una descripción técnica de las capacidades de lightSpy y dmsSpy, así como sus métodos de distribución. 

Fuente: TrendMicro

Suscríbete a nuestro Boletín