黑客使用开源移动设备管理(MDM)系统来控制定位iPhone手机

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

黑客使用开源移动设备管理(MDM)系统来控制定位iPhone手机

最近发现的针对iPhone用户的网络攻击一直使用开源移动设备管理(MDM)系统来控制注册设备。

可以通过物理访问或社会工程来注册目标设备,但Talos无法确定攻击者使用哪种方法。作为高度针对性的广告系列的一部分,攻击者竭尽全力替换特定应用并拦截用户数据。

通过使用MDM解决方案,该演员为印度的13个目标设备部署了五个应用程序。因此,他们能够窃取SMS消息,查看设备位置和泄露数据。苹果已被告知此次攻击,并且已经对攻击者使用的证书采取了行动。

Talos安全研究人员发现,攻击者使用BOptions 侧载技术为合法应用程序(包括WhatsApp和Telegram)添加了功能。然后,MDM用于将应用程序部署到目标设备上。

注入的恶意代码可以收集和窃取诸如电话号码,序列号,位置,联系人,用户照片,SMS和电报以及WhatsApp聊天消息之类的信息。

该恶意软件似乎自2015年8月以来一直在使用,登录MDM服务器并且命令和控制(C&C)服务器显示。根据这些服务器上的其他信息,Talos 认为该恶意软件作者在印度工作。

攻击者使用的两个MDM服务器基于小型开源项目mdm-server 。通过MDM,管理员可以从一个位置控制多个设备,可以安装和删除应用程序和证书,锁定设备,更改密码要求等。

但是,注册过程需要每个步骤的用户交互,这表明社交工程被用作攻击的一部分。最有可能的是,建议用户安装攻击者的证书以允许注册,并且使用诸如“ ios-certificate-update [。] com ”之类的域帮助他们欺骗用户。

攻击者使用2017年9月发布的证书作为位于俄罗斯的电子邮件地址,由于攻击者不在俄罗斯,因此被认为是虚假旗帜。证书可以是自签名的,也可以由Comodo证书颁发机构签名。

根据Talos的说法,受影响的设备都位于印度,包括以下型号:iPhone 5.4,iPhone 7.2,iPhone 8.1,iPhone 8.2,iPhone 9.3和iPhone 9.4。操作系统版本包括10.2.1,10.3.1,10.3.2,10.3.3,11.0,11.0.3,11.2.1,11.2.5和11.2.6。

研究人员说,虽然没有关于13台设备如何注册MDM的信息,但攻击者可能会在自己的iPhone上测试该解决方案。

然而,这次攻击的重点是将恶意应用程序部署到受感染的设备上以窃取信息。攻击者将代码注入AppsSLoader,Telegram,WhatsApp,PrayTime和MyApp等应用程序,然后将其加载到目标iPhone上。

观察到恶意的Telegram和WhatsApp版本将收集的信息发送到自2015年8月以来一直活跃的服务器。

“当时,目前尚不清楚该活动的目标是谁,谁是犯罪者,或者具体目的是什么。这个广告系列的向量很可能只是社交工程 - 换句话说就是要求用户点击“确定”。这种类型的载体很难防御,因为用户经常被欺骗以违背他们的最佳利益,“Talos总结道。

CE安全网

发表评论

您必须登录才能发表评论!