Tin tặc sử dụng giải pháp MDM độc hại để theo dõi có chủ đích người dùng iPhone

Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch tấn công mã độc di động hoạt động từ tháng 8 năm 2015, nhắm mục tiêu vào 13 người dùng iPhone cụ thể ở Ấn Độ. Những kẻ tấn công, được cho là đang hoạt động từ Ấn Độ, đã lợi dụng giao thức quản lý thiết bị di động MDM (Mobile Device Management – phần mềm bảo mật được các doanh nghiệp lớn sử dụng để quản lý và thực thi các chính sách trên các thiết bị của nhân viên) để kiểm soát và thực thi các ứng dụng độc hại từ xa.

Lợi dụng dịch vụ MDM của Apple để điều khiển thiết bị từ xa

Để đăng ký MDM cho thiết bị iOS, người dùng cần cài đặt thủ công chứng chỉ phát triển doanh nghiệp do Apple cấp thông qua chương trình “Apple Developer Enterprise” (Nhà phát triển doanh nghiệp của Apple). Các công ty có thể gửi file cấu hình MDM qua email hoặc webpage để đăng ký dịch vụ sử dụng trình cấu hình của Apple. Khi người dùng cài đặt, dịch vụ cho phép quản trị viên của công ty điều khiển từ xa thiết bị, cài đặt / xóa ứng dụng, cài đặt / thu hồi chứng chỉ, khóa thiết bị, thay đổi yêu cầu mật khẩu, v.v.

“MDM sử dụng Dịch vụ Apple Push Notification Service (APNS) để gửi thông báo đánh thức tới thiết bị được quản lý. Thiết bị sau đó sẽ kết nối với dịch vụ web định trước để truy xuất các lệnh và trả về kết quả”, Apple giải thích về MDM.

Vì mỗi bước của quy trình đăng ký đều yêu cầu tương tác của người dùng nên hiện tại vẫn chưa hacker đã làm cách nào để đăng ký vào dịch vụ MDM của 13 thiết bị iPhone bị tấn công. Tuy nhiên, các nhà nghiên cứu tại Talos của Cisco cho rằng hacker có thể đã sử dụng cơ chế kỹ thuật xã hội như thực hiện cuộc gọi hỗ trợ kỹ thuật giả mạo hoặc truy cập vật lý vào các thiết bị.

Theo các nhà nghiên cứu, hacker đã sử dụng dịch vụ MDM để cài đặt từ xa các phiên bản đã bị chỉnh sửa của ứng dụng nhắn tin WhatsApp & Telegram vào các máy nạn nhân, được thiết kế để bí mật theo dõi người dùng và ăn cắp thông tin vị trí, danh bạ, ảnh, SMS và tin nhắn riêng của nạn nhân, sau đó gửi chúng tới một server từ xa tại hxxp [:] // techwach [.] Com. Để thêm các tính năng độc hại vào các ứng dụng nhắn tin này, hacker đã sử dụng “kỹ thuật side load BOptions”, cho phép họ tiêm một thư viện động vào các ứng dụng hợp pháp. Theo đó, thư viện tiêm có thể yêu cầu cho phép bổ sung, thực thi mã và lấy cắp thông tin từ ứng dụng gốc, v.v.

Talos xác định một ứng dụng hợp pháp khác thực thi mã độc hại trong chiến dịch này ở Ấn Độ là PrayTime – ứng dụng nhắc thời gian cầu nguyện cho người dùng. Mục đích là tải xuống và hiển thị quảng cáo cụ thể cho người dùng. Ứng dụng này cũng đọc tin nhắn SMS trên thiết bị được cài đặt và tải chúng lên máy chủ C2.
Tại thời điểm báo cáo, Apple đã thu hồi 3 chứng chỉ liên quan đến chiến dịch này, và sau khi nhận được thông báo của đội Talos, công ty cũng đã hủy bỏ 2 chứng chỉ còn lại.

Tin tặc sử dụng giải pháp MDM độc hại để theo dõi có chủ đích người dùng iPhone
5 (100%) 1 vote