Kaspersky, compañía de antivirus, informó que dispositivos iOS fueron atacados previamente con un malware desconocido por medio de un mensaje que llegó desde iMessage.
Por medio de una nota en su portal informativo SecureList, enlistaron lo que llamaron “Operación Triangulación” con la que identificaron el problema que afectó a dispositivos utilizados por empleados de la empresa desde 2019.
Sobre la forma en que los modelos Apple o que funcionan con sistema operativo iOS se contagian es tras recibir un mensaje por medio del servicio iMessage que incluía un archivo adjunto con un exploit, que es un software diseñado para aprovechar un fallo en un sistema informático.
A pesar de que no existiera alguna interacción del usuario, este mensaje desencadenaba una vulnerabilidad para la ejecución del código malicioso.
Este código al interior del exploit se descargaba en varias etapas posteriores para ejecutar un conjunto de comandos que recopilaba datos privados del usuario. Tanto el mensaje inicial como el exploit en el archivo adjunto terminaban por eliminarse.
El ataque descubierto por Kaspersky se mantiene en curso y se identificó que logró atacar a dispositivos con versión iOS 15.7. Aquellos modelos que ya ejecutan iOS 16 ya parecen estar a salvo de la amenaza, pero no podían garantizar que otras versiones fueran vulnerables ante el ataque.
“Al momento de escribir este artículo en junio de 2023, el ataque continúa”, explicó la empresa de análisis de virus. “El código se ejecuta con privilegios de raíz, implementa un conjunto de comandos para recopilar información del usuario y del sistema, y puede ejecutar código arbitrario descargado como módulos de complemento del servidor C&C”.
Una vez que el ataque estaba completado el malware era capaz de eludir las protecciones implementadas por Apple, de forma que podía obtener acceso a los datos personales de un usuario, así como a aplicaciones como la cámara, el micrófono y el historial de llamadas.
¿Cómo se encontró esta amenaza en iPhone?
Kaspersky detalló que su “Operación Triangulación” comenzó después del monitoreo que realizaban al tráfico de su propia red Wi-Fi corporativa para dispositivos móviles por medio de su herramienta Kaspersky Unified Monitoring and Analysis Platform (KUMA).
Cuando se realizó se encontró que en los modelos iOS o iPhone existía actividad sospechosa. Debido a que no se pueden inspeccionar los dispositivos desde el interior por las políticas de Apple, se realizaron copias de seguridad fuera de línea de los dispositivos por medio de un mvt-ios de Mobile Verification Toolkit, algo que terminó por ser nombrado como “Operación Triangulación”.
Por medio de mvt-ios se produce una línea de tiempo ordenada de eventos por medio de un archivo “timeline.csv”, que funciona como una súper línea de tiempo utilizada por las herramientas forenses digitales convencionales.
Aunque este malware tiene partes de código dedicadas específicamente para borrar los rastros del archivo, fue posible identificar de manera confiable si el dispositivo fue comprometido. También, permitió observar si se configuró un nuevo dispositivo mediante la migración de datos de usuarios desde un dispositivo anterior, por medio de una copia de seguridad de iTunes.
Kaspersky también lanzó varias herramientas para que los usuarios puedan verificar su dispositivo iPhone o Apple se encuentra afectado y que puede seguirse al dar click aquí.
