Una sofisticata campagna di malware avrebbe infettato iPhone di utenti in India, riuscendo ad intercettare addirittura le conversazioni di WhatsApp e Telegram.
Dopo aver violato il terminale, gli hacker riuscirebbero a rubare diverse informazioni, tra cui dati sensibili, come il numero di telefono, il numero di serie, l’ubicazione, i contatti, foto utente, SMS e messaggi di chat Telegram e WhatsApp. Tredici gli utenti – tutti in India – che riferiscono di aver subito questa tipologia di attacco, come descritto da Cisco Talos . I modelli di iPhone sono attacco sono diversi, e dall’agosto 2015 gli hacker sono riusciti ad infettare dispositivi con diverse versioni di sistema, da iOS 10.2.1 a 11.2.6.
Gli aggressori prendono il controllo del terminale utilizzando il pacchetto MDM, riuscendo ad ottenere il controllo completo del dispositivo, oltre alla possibilità di installare versioni falsificate di applicazioni reali.
Alcuni ricercatori della società di sicurezza si dicono incerti su come gli aggressori siano riusciti ad ottenere le autorizzazioni necessarie ad installare versioni fake di app reali sugli iPhone colpiti.
L’utilizzo del processo MDM prevede diversi passaggi e permette l’installazione di ulteriori certificati sul dispositivo, così da prendere il controllo del dispositivo a livello di sistema. Un canale utilizzato per il furto di dati è quello delle app fake di messaggistica come WhatsApp e Telegram: l’app sembra innocua, ma il codice infetto invia informazioni – compresi i messaggi, foto e contatti – a un server di comando e di controllo centrale.
Le tracce lasciate sugli iPhone infatti dagli hacker includono un certificato rilasciato a settembre 2017, che contiene un indirizzo di posta elettronica russa. Tuttavia, i ricercatori dicono che questo è stato inserito volutamente nel tentativo di distogliere l’attenzione dai veri hacker.
Le analisi fatte da esperti del settore suggeriscono che, almeno una volta, gli aggressori hanno usato il loro telefono personale per testare l’MDM, utilizzando per i dispositivi nomi come “Test” e “mdmdev”.
Entrambi i dispositivi utilizzati per il test, condividono lo stesso numero telefonico e sono registrati sull’operatore Vodafone India: questo porta i ricercatori all’ipotesi che l’attacco sia partito fuori dai confini indiani.
Ad ogni modo non sono stati forniti dettagli sulle vittime degli attacchi, anche se tutti hanno base in India. La redazione di ZDNet ha contattato Apple per ulteriori chiarimenti; al momento non è arrivata nessuna risposta ufficiale.
