iOS: el ataque NoReboot simula el apagado del teléfono para espiarte

iOS: el ataque NoReboot simula el apagado del teléfono para espiarte



Los investigadores han publicado una nueva técnica para simular el apagado del iPhone para el monitoreo.

Apodado «NoReboot», la prueba de concepto de ZecOps se describe como un método que puede pasar por alto la práctica normal de reiniciar un dispositivo para borrar la actividad maliciosa de la memoria y ganar persistencia en el dispositivo.

Al presentar un análisis de GitHub y un repositorio público esta semana, ZecOps explicó que el troyano NoReboot simula el apagado real de un dispositivo mientras brinda cobertura para el funcionamiento del malware, que podría incluir el secuestro encubierto de las capacidades del micrófono y la cámara para espiar al propietario del teléfono.

“El usuario no puede sentir la diferencia entre una parada real y una ‘parada falsa’”, dicen los investigadores. “No hay interfaz de usuario ni comentarios de botones hasta que el usuario vuelve a encender el teléfono. «

La técnica provoca el evento de apagado esperado al inyectar código en tres demonios: InCallService, SpringBoard y backboardd.

Cuando se apaga un iPhone, indicadores físicos indican que la operación fue exitosa: un tono de llamada o sonido, una vibración y la aparición del logo de Apple en la pantalla. Pero al deshabilitar la «retroalimentación física», el malware puede crear la apariencia de un apagado mientras se mantiene una conexión en vivo con un operador.

persistencia-noreboot-3.png

Imagen: ZecOps.

“Cuando apaga el dispositivo, en realidad es una aplicación del sistema /Applications/InCallService.app que envía una señal de apagado a SpringBoard, que es un demonio responsable de la mayor parte de la interacción con la interfaz de usuario”, explican los investigadores. “Logramos desviar la señal usando el método Objective-C -[FBSSystemService shutdownWithOptions:]. Ahora, en lugar de enviarle a SpringBoard una señal de detención, notificará tanto a SpringBoard como a backboard para activar el código que le inyectamos. «

La pantalla que indica un proceso de apagado se puede secuestrar a través de backboard y la función SpringBoard se puede forzar a cerrar y bloquear para que no se reinicie. ZecOps dice que al tomar el control de SpringBoard, un iPhone objetivo puede «parecer» que no está encendido, que es el «disfraz perfecto».

Sin embargo, los usuarios aún tienen la opción de forzar el reinicio. Aquí es donde entra en juego la alteración del tablero: al monitorear las entradas del usuario, incluido el tiempo que se mantienen presionados los botones, se puede simular un reinicio justo antes de que ocurra un reinicio real, por ejemplo, al mostrar el logotipo de Apple antes.

«Evitar que los usuarios reinicien manualmente un dispositivo infectado para creer que lo lograron es una técnica de persistencia de malware notable», comenta Malwarebytes.

Como la técnica se enfoca en engañar a los usuarios en lugar de vulnerabilidades o errores en la plataforma iOS, este comportamiento no se solucionará con un simple parche. ZecOps indica que el método NoReboot tiene un impacto en Todas las versiones iOS y que solo los indicadores de hardware podrían ayudar a detectar esta forma de técnica de ataque.

Un video de demostración está disponible a continuación:

Fuente: ZDNet.com

Ver noticia en: www.zdnet.fr (En francés)