Los expertos en seguridad informática de la división de seguridad Talos de Cisco han identificado una nueva campaña de malware dirigida a dispositivos iPhone en La India. Según el informe, los hackers han estado haciendo de las suyas con esta campaña durante los últimos 3 años, y al menos 13 iPhones muy específicos pertenecientes a usuarios indios han sido afectados.

La publicación asegura que la campaña de malware ha estado activa desde agosto de 2015, y se cree que los responsables de los ataques también se encuentran en La India. Sin embargo, los investigadores detectaron que los hackers utilizan una dirección de correo electrónico conectada a servidores rusos para el robo de datos de dispositivos específicos.

Los hackers detrás de este ataque utilizaron el protocolo MDM de administración de dispositivos móviles, un tipo de software de seguridad comúnmente utilizado por grandes corporaciones que desean aplicar políticas específicas en smartphones. Como parte de la campaña, el protocolo MDM se utilizado para implementar y controlar apps con malware.

Imagen cortesía de Talos – Cisco

El informe revela que los hackers lograon inscribir 13 iPhones a través del uso de dos servidores iOS MDM, que son ambos de código abierto. De esta manera, fueron capaces de controlar totalmente los dispositivos. Luego, inyectaron una biblioteca de enlaces dinámicos a algunas de las apps más populares, como Telegram o WhatsApp.

Para lograr esto, los hackers emplearon una técnica de carga lateral conocida como BOptions, que les dio la posibilidad de obtener permisos adicionales en el dispositivo. Mediante el uso de dichos permisos, lograron ejecutar código de diversas apps y robar datos sensibles de los dispositivos.

Llegados a este punto, los hackers pudieron implementar varias apps maliciosas, sin embargo, probaron 5 de ellas y robaron el contenido de SMS, extrajeron datos de ubicación e incluso enviaron esta información a sus servidores de comando. Actualmente, los investigadores determinan si los dispositivos afectados están inscritos en uno de los servidores MDM.

Luego de este descubrimiento, Talos notificó a Apple sobre el incidente, y la compañía procedió a anular los cinco certificados digitales utilizados por los hackers. La recomendación para todos los usuarios es no instalar certificados de procedencia desconocida o no verificados, ya que hacerlo puede poner en riesgo sus datos privados.