El famoso "Masque Attack" del año pasado hecho arma.
Hacking Team comprometio dispositivos iOS sin jailbreak usando una variante del masque attack del año pasado, en el que los dispositivos de Apple se infectaban a través de correos electrónicos y mensajes de texto.
Esto es según un estudio de los 400GB de documentos que fueron robados de los sistemas del fabricante de snoop-ware italiano por los hackers, y se filtró en Internet al alcance de todos.
Un análisis de la avanzada suite de ataque móvil del Hacking Team revela que las principales plataformas móviles - iOS, Android, Windows Phone, Blackberry, Symbian, etc - fueron atacadas. Las herramientas de ataque de la empresa intentan todo lo posible por infiltrarse en el dispositivo de la víctima, y permitir el control remoto persistente. Dispositivos comprometidos bajo el control de malware de Hacking Team surgieron en todo el mundo, según la firma de seguridad FireEye.
La investigación dada a conocer por FireEye en la conferencia Black Hat el jueves se centró en ataques contra iOS y Android, las dos plataformas móviles más populares. Trend Micro previamente documento ataques de la empresa en contra de Android, por lo que el ataque a iOS desentrañado por FireEye llama la atención.
Un agente de sistema de control remoto iOS (RCS), diseñado para hackear dispositivos iOS con jailbreak, es uno de los elementos que surgieron en el arsenal del Hacking Team. Más sorprendentemente, otros ataques contra dispositivos iOS sin jailbreak también hicieron acto de presencia en el archivo de correo electrónico comprometido de la firma italiana.
El Ataque Masque - antes sólo abusado por el malware WireLurker - juega un papel central en los intentos de hackear iPhones y iPads en regulación (no-jailbreak). El ataque se aprovecha de un defecto de seguridad - parcheado el año pasado - que permite a una aplicación de iOS con el mismo nombre de archivo - independientemente del desarrollador - reemplazar una aplicación legítima.
La aplicación maliciosa tiene que ser firmada utilizando un certificado de empresa - diseñado para el despliegue de software en las empresas sin tener que pasar por la App Store oficial - y el usuario tiene que hacer clic a través de un aviso.
Software Doppelgänger
Una aplicación de control remoto desarrollada por Hacking Team puede descargar aplicaciones Masque Attack de un servidor remoto y tiene un panel de control para configurar el comportamiento malicioso de las aplicaciones Masque Attack instaladas, principalmente versiones re-empacadas de aplicaciones de redes sociales populares. Versiones Doppelgänger de Skype, Twitter, Facebook, Facebook Messenger, WhatsApp, Google Chrome, WeChat, Viber, Blackberry Messenger, VK y Telegram.
Las aplicaciones modificadas cuentan con un binario adicional para exfiltrar datos sensibles y comunicarse con el servidor remoto. Debido a que todos los identificadores de paquete son las mismas que las aplicaciones genuinas en App Store, pueden sustituir directamente a las aplicaciones originales en los dispositivos iOS antes de la versión 8.1.3 (la versión del software IOS de Apple que corrige la vulnerabilidad Masque Attack).
Si se logran instalar, las aplicaciones troyanas ejecutarán los comandos y extraeran datos desde dispositivos comprometidos. Las vulnerabilidades Masque Attack fueron parcialmente arregladas en iOS 8.1.3, sin embargo, la solución fue suficiente para bloquear los ejemplares de malware de Hacking Team que FireEye encontró. Investigadores de FireEye reportaron nuevos tipos de vulnerabilidades de Masque Attack, y los nuevos tipos fueron arreglados hasta iOS 8.4. Aunque técnicamente posible, la versión actual de malware de Hacking Team no explota estas nuevas vulnerabilidades.
El ataque es uno de los más avanzados hasta la fecha contra los teléfonos inteligentes y las tabletas, según FireEye. La empresa de seguridad reconoce los mismos o similares planteamientos son susceptibles a ser utilizados por otros grupos de hacking, incluidas las agencias de inteligencia.
 |
| Imagen: Redmondpie |
Esto es según un estudio de los 400GB de documentos que fueron robados de los sistemas del fabricante de snoop-ware italiano por los hackers, y se filtró en Internet al alcance de todos.
Un análisis de la avanzada suite de ataque móvil del Hacking Team revela que las principales plataformas móviles - iOS, Android, Windows Phone, Blackberry, Symbian, etc - fueron atacadas. Las herramientas de ataque de la empresa intentan todo lo posible por infiltrarse en el dispositivo de la víctima, y permitir el control remoto persistente. Dispositivos comprometidos bajo el control de malware de Hacking Team surgieron en todo el mundo, según la firma de seguridad FireEye.
La investigación dada a conocer por FireEye en la conferencia Black Hat el jueves se centró en ataques contra iOS y Android, las dos plataformas móviles más populares. Trend Micro previamente documento ataques de la empresa en contra de Android, por lo que el ataque a iOS desentrañado por FireEye llama la atención.
Un agente de sistema de control remoto iOS (RCS), diseñado para hackear dispositivos iOS con jailbreak, es uno de los elementos que surgieron en el arsenal del Hacking Team. Más sorprendentemente, otros ataques contra dispositivos iOS sin jailbreak también hicieron acto de presencia en el archivo de correo electrónico comprometido de la firma italiana.
El Ataque Masque - antes sólo abusado por el malware WireLurker - juega un papel central en los intentos de hackear iPhones y iPads en regulación (no-jailbreak). El ataque se aprovecha de un defecto de seguridad - parcheado el año pasado - que permite a una aplicación de iOS con el mismo nombre de archivo - independientemente del desarrollador - reemplazar una aplicación legítima.
La aplicación maliciosa tiene que ser firmada utilizando un certificado de empresa - diseñado para el despliegue de software en las empresas sin tener que pasar por la App Store oficial - y el usuario tiene que hacer clic a través de un aviso.
Software Doppelgänger
Una aplicación de control remoto desarrollada por Hacking Team puede descargar aplicaciones Masque Attack de un servidor remoto y tiene un panel de control para configurar el comportamiento malicioso de las aplicaciones Masque Attack instaladas, principalmente versiones re-empacadas de aplicaciones de redes sociales populares. Versiones Doppelgänger de Skype, Twitter, Facebook, Facebook Messenger, WhatsApp, Google Chrome, WeChat, Viber, Blackberry Messenger, VK y Telegram.
Las aplicaciones modificadas cuentan con un binario adicional para exfiltrar datos sensibles y comunicarse con el servidor remoto. Debido a que todos los identificadores de paquete son las mismas que las aplicaciones genuinas en App Store, pueden sustituir directamente a las aplicaciones originales en los dispositivos iOS antes de la versión 8.1.3 (la versión del software IOS de Apple que corrige la vulnerabilidad Masque Attack).
Si se logran instalar, las aplicaciones troyanas ejecutarán los comandos y extraeran datos desde dispositivos comprometidos. Las vulnerabilidades Masque Attack fueron parcialmente arregladas en iOS 8.1.3, sin embargo, la solución fue suficiente para bloquear los ejemplares de malware de Hacking Team que FireEye encontró. Investigadores de FireEye reportaron nuevos tipos de vulnerabilidades de Masque Attack, y los nuevos tipos fueron arreglados hasta iOS 8.4. Aunque técnicamente posible, la versión actual de malware de Hacking Team no explota estas nuevas vulnerabilidades.
El ataque es uno de los más avanzados hasta la fecha contra los teléfonos inteligentes y las tabletas, según FireEye. La empresa de seguridad reconoce los mismos o similares planteamientos son susceptibles a ser utilizados por otros grupos de hacking, incluidas las agencias de inteligencia.
"Esta es la primera infraestructura de ataque verdaderamente avanzada utilizando el Masque Attack vista hasta la fecha, y es un punto de prueba de que los atacantes avanzados finalmente están poniendo un poco de rigor real detrás de los teléfonos inteligentes, tabletas y productos de Apple," FireEye concluye. "El panorama de las amenazas de la seguridad móvil mundial está evolucionando hacia una nueva era, donde los atacantes comienzan a agotar todas las posibles vulnerabilidades para obtener capacidades y privilegio, y que también están tratando de evadir la detección y sigilosamente controlar los dispositivos víctimas de forma persistente."
