Test

“MDM sử dụng Dịch vụ Apple Push Notification Service (APNS) để gửi thông báo đánh thức tới thiết bị được quản lý. Thiết bị sau đó sẽ kết nối với dịch vụ web định trước để truy xuất các lệnh và trả về kết quả”, Apple giải thích về MDM.

Vì mỗi bước của quy trình đăng ký đều yêu cầu tương tác của người dùng nên hiện tại vẫn chưa hacker đã làm cách nào để đăng ký vào dịch vụ MDM của 13 thiết bị iPhone bị tấn công. Tuy nhiên, các nhà nghiên cứu tại Talos của Cisco cho rằng hacker có thể đã sử dụng cơ chế kỹ thuật xã hội như thực hiện cuộc gọi hỗ trợ kỹ thuật giả mạo hoặc truy cập vật lý vào các thiết bị.

Theo các nhà nghiên cứu, hacker đã sử dụng dịch vụ MDM để cài đặt từ xa các phiên bản đã bị chỉnh sửa của ứng dụng nhắn tin WhatsApp & Telegram vào các máy nạn nhân, được thiết kế để bí mật theo dõi người dùng và ăn cắp thông tin vị trí, danh bạ, ảnh, SMS và tin nhắn riêng của nạn nhân, sau đó gửi chúng tới một server từ xa tại hxxp [:] // techwach [.] Com. Để thêm các tính năng độc hại vào các ứng dụng nhắn tin này, hacker đã sử dụng “kỹ thuật side load BOptions”, cho phép họ tiêm một thư viện động vào các ứng dụng hợp pháp. Theo đó, thư viện tiêm có thể yêu cầu cho phép bổ sung, thực thi mã và lấy cắp thông tin từ ứng dụng gốc, v.v.

Talos xác định một ứng dụng hợp pháp khác thực thi mã độc hại trong chiến dịch này ở Ấn Độ là PrayTime – ứng dụng nhắc thời gian cầu nguyện cho người dùng. Mục đích là tải xuống và hiển thị quảng cáo cụ thể cho người dùng. Ứng dụng này cũng đọc tin nhắn SMS trên thiết bị được cài đặt và tải chúng lên máy chủ C2.
Tại thời điểm báo cáo, Apple đã thu hồi 3 chứng chỉ liên quan đến chiến dịch này, và sau khi nhận được thông báo của đội Talos, công ty cũng đã hủy bỏ 2 chứng chỉ còn lại.

Test
Đánh giá bài viết này