Les pirates ont utilisé une solution MDM malveillante pour espionner les utilisateurs d’iPhone « hautement ciblés »

Les chercheurs en sécurité ont découvert une campagne de logiciels malveillants pour les appareils mobiles « hautement ciblée » qui fonctionne depuis août 2015 et a espionné 13 iPhones sélectionnés en Inde.

Les attaquants, qui opèrent également depuis l’Inde, ont abusé du protocole de gestion des appareils mobiles (MDM), un type de logiciel de sécurité utilisé par les grandes entreprises pour contrôler et appliquer les politiques sur les appareils utilisés par leurs employés. applications à distance.

Exploitation du service Apple MDM pour contrôler les périphériques à distance

Pour inscrire un appareil iOS dans le MDM, un utilisateur doit installer manuellement le certificat de développement d’entreprise, que les entreprises ont obtenu via le programme Apple Developer Enterprise.

Les entreprises peuvent fournir un fichier de configuration MDM par e-mail ou une page Web pour le service d’inscription en ligne via Apple Configurator.

Une fois qu’un utilisateur l’installe, le service permet aux administrateurs de contrôler à distance le périphérique, installer / supprimer des applications, installer / révoquer des certificats, verrouiller le périphérique, modifier les exigences de mot de passe, etc.

"MDM utilise le service APNS (Apple Push Notification Service) pour envoyer un message de réveil à un périphérique géré, puis il se connecte à un service Web prédéterminé pour récupérer les commandes et renvoyer les résultats", explique Apple à propos de MDM.

Comme chaque étape du processus d’inscription nécessite une interaction de l’utilisateur, comme l’installation d’une autorité de certification sur l’iPhone, il n’est pas encore clair comment les attaquants ont réussi à inscrire 13 iPhones ciblés dans leur service MDM.

Cependant, les chercheurs de l’unité de renseignement sur les menaces Talos de Cisco, qui ont découvert la campagne, croient que les attaquants utilisaient probablement un mécanisme d’ingénierie sociale, comme un faux appel au support technique, ou un accès physique aux appareils ciblés.

Espionnage par télégramme compromis et applications WhatsApp

Selon les chercheurs, les attaquants derrière la campagne ont utilisé le service MDM pour installer à distance des versions modifiées d’applications légitimes sur des iPhones cibles, conçus pour espionner secrètement les utilisateurs et voler leur position en temps réel, leurs contacts, photos, SMS et messages provenant d’applications de chat.

Pour ajouter des fonctionnalités malveillantes dans des applications de messagerie sécurisées, telles que Telegram et WhatsApp, l’attaquant a utilisé la technique de « chargement latéral de BOptions », qui lui a permis d’injecter une bibliothèque dynamique dans les applications légitimes.

"La bibliothèque d’injection peut demander des autorisations supplémentaires, exécuter du code et dérober des informations de l’application d’origine, entre autres choses", expliquent les chercheurs.

Les logiciels malveillants injectés dans les versions compromises du Telegram, et les applications WhatsApp ont été conçus pour envoyer des contacts, l’emplacement et les images de l’appareil infecté à un serveur distant situé à hxxp [ :] // techwach [.] Com

"Talos a identifié une autre application légitime exécutant un code malveillant au cours de cette campagne en Inde.PrayTime est utilisé pour donner à l’utilisateur une notification quand il est temps de prier", ont déclaré les chercheurs.

"Le but est de télécharger et d’afficher des publicités spécifiques à l’utilisateur.Cette application tire également parti des cadres privés pour lire les messages SMS sur l’appareil sur lequel il est installé et les télécharge sur le serveur C2."

Pour l’instant, on ne sait pas qui est derrière la campagne, qui a été ciblé dans la campagne et quels ont été les motifs de l’attaque, mais les chercheurs ont trouvé des preuves suggérant que les attaquants opéraient depuis l’Inde, tandis que les attaquants plantaient "en posant comme russe.

"Sur une période de trois ans, les attaquants sont restés sous le radar - probablement en raison du faible nombre d’appareils compromis - nous avons trouvé des appareils de test inscrits sur le MDM avec un numéro de téléphone indien et enregistrés auprès d’un fournisseur indien".

"Tous les détails techniques pointent vers un acteur basé dans le même pays que les victimes : l’Inde".

Au moment du reportage, Apple avait déjà révoqué 3 certificats liés à cette campagne, et après avoir été informé par l’équipe de Talos, la société a également annulé les deux certificats restants.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image