Kaspersky, un’azienda specializzata nella produzione di software per la sicurezza informatica, ha recentemente scoperto diversi malware creati appositamente per infettare gli iPhone con iOS 15.7 tramite iMessage.
Il team di Kaspersky ha individuato comportamenti potenzialmente sospetti provenienti da vari dispositivi iOS. Tuttavia, a causa delle limitazioni di sicurezza che impediscono un’ispezione diretta interna dei dispositivi iOS, l’azienda ha dovuto generare un backup offline per ulteriori analisi.
Questi backup sono stati successivamente analizzati utilizzando il mvt-ios (Mobile Verification Toolkit for iOS), che ha permesso di identificare indicatori di compromissione. L’attacco si verifica quando il dispositivo iOS preso di mira riceve un messaggio attraverso la piattaforma iMessage.
Il messaggio contiene un allegato che contiene un exploit. Questo exploit, creato appositamente come meccanismo a “zero click”, sfrutta una vulnerabilità all’interno del sistema, consentendo l’esecuzione di codice dannoso senza richiedere alcuna interazione da parte dell’utente.
Successivamente, l’exploit avvia il recupero di ulteriori fasi dal server Command and Control (C&C). Queste fasi includono diversi exploit progettati specificamente per ottenere privilegi elevati.
Una volta completato con successo il processo, viene scaricata una completa piattaforma APT (Advanced Persistent Threat) dal server C&C, che prende il controllo assoluto del dispositivo e dei dati dell’utente.
È interessante notare che il toolkit dannoso non è persistente, indicando che le limitazioni dell’ambiente iOS possono rappresentare un fattore limitante. Tuttavia, i dispositivi potrebbero essere nuovamente infettati al riavvio tramite un altro attacco.
Per proteggersi, il team di Kaspersky sta conducendo un’indagine sul payload finale del malware, che opera con privilegi di root. Questo software dannoso è in grado di raccogliere dati di sistema e dell’utente, nonché eseguire codice arbitrario che viene scaricato come moduli plug-in dal server C&C.
Il team afferma tuttavia che è possibile identificare in modo affidabile se un dispositivo è stato compromesso. Inoltre, quando si configura un nuovo dispositivo migrando i dati da un dispositivo precedente, il backup iTunes di quest’ultimo conserverà tracce della compromissione avvenuta su entrambi i dispositivi, con timestamp precisi.
Nel post sul blog di Kaspersky vengono fornite linee guida complete per determinare se un dispositivo iOS è stato infettato dal malware. Il processo prevede l’utilizzo di alcune righe di comando nel terminale per installare il software e ispezionare file specifici per rilevare la presenza di malware.
È importante notare che questi passaggi richiedono una certa competenza tecnica e dovrebbero essere tentati solo da utenti esperti. L’aggiornamento a iOS 16 rappresenta il modo migliore e più semplice per proteggersi.