Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

mRATs KeRanger e XCode: come hanno colpito iOS e OS X

31 mar , 2016 | 5 minuti

mrats keranger xcode

Nel corso del 2015 Check Point ha condotto uno studio in cui ha preso in esame 900.000 dispositivi mobili tra smartphone e tablet, suddivisi in 500K Android e 400K iOS. Sono 1000 i device risultati infetti e di questi il 40% di casa Apple. Girando i numeri dal punto di vista del rapporto di infezione, questo equivale a dire 1 ogni 834 Android e 1 ogni 1.000 iOS.

Vedete che la differenza non è così eclatante.

Iniziamo allora a vedere alcuni tipi di attacchi e di minacce che mirano ai sistemi iOS e OS X, esistono forme e casi analoghi anche per Android, cambiano solo alcune definizioni e metodi, ma vediamo come nel caso di Apple queste sono riuscite ad aggirare i controlli. 

 

Il caso XCode

XCode è una piattaforma di sviluppo per applicazioni iOS e OS X che contiene tutti gli strumenti necessari e utili per realizzare un’App. Questo strumento è completamente realizzato e aggiornato da Apple e messo a disposizione gratuitamente, la sorgente ufficiale dalla quale può essere scaricato è ovviamente Apple Store.

Qualsiasi persona in possesso di un certificato di sviluppatore può quindi utilizzarlo per realizzare e caricare la propria app sullo store ufficiale di Apple.

La violazione di XCode, avvenuta nel Settembre 2015, ha rappresentato un modo per aggirare tutti i controlli di Apple alla radice. La riuscita di questo attacco deve il suo successo ad abitudini poco sicure ed ortodosse di molti sviluppatori.

I tempi di download della piattaforma dal repository ufficiale sono notoriamente molto lunghi, in quanto il file è pesante e l’accesso congestionato. Per ovviare a questa perdita di tempo i programmatori hanno preso l’abitudine di scaricarla da fonti non ufficiali sulle quali è stata resa disponibile, molto più veloci ma purtroppo compromesse, parliamo in particolare del filesharing cinese Baidu.

In questo repository è stata cariata una versione di XCode modificata, al fine di inserire del codice maligno in tutte le app con essa sviluppate. Di conseguenza ogni programmatore che l’ha utilizzata, ha di fatto reso disponibile ufficialmente un’applicazione che oltre alla sua normale funzione si occupava anche altro. Tutto questo a sua insaputa e a suo nome.

Tra le “opzioni” maggiormente gettonate vi è la raccolta di dati personali e bancari, al fine di comunicarli all’esterno verso server hackerati e botnet. I metodi utilizzati sono il keylogging per rilevare la digitazione da tastiera, form grabbing per leggere i valori di una form prima che vengano inviati dal browser e schermate di Phishing. Oltre a questo anche spying, utilizzando tutte le API del dispositivo, quindi microfono, fotocamera, rubrica, dialer e SMS. Insomma controllo completo.

A fronte di questo attacco Apple ha cancellato circa 300 App. delle quali 85 si sono rivelate effettivamente infette e hanno superato i controlli. Tra queste anche la nota WeChat che in Cina conta mezzo miliardo di utenti.

 

 KeRanger: il ransomware che affligge OS X

Anche il mondo Apple ora dispone di un bel ransomware propriamente detto. Il suo nome è KeRanger e a differenza di tutti i famosi cryptovirus non raggiunge i dispositivi tramite campagne di mail phishing.

L’apparizione delle infezioni risale ai primissimi giorni di Marzo e sono legate ad una versione compromessa di Transmission, la 2.90, rimasta a disposizione di tutti gli utenti il 4 e 5 Marzo.

Si tratta di un famoso client torrent utilizzato per scaricare contenuti multimediali, generalmente film e musica. Il sito ufficiale dal quale è possibile scaricare il file di installazione di questo programma è stato compromesso e chi l’ha fatto è riuscito a caricare una versione malevola, che alla sua esecuzione lanciava anche quella del malware. 

La prima caratteristica degna di nota è che il processo di cifratura si attiva dopo circa 3 giorni dall’installazione di Transmission, questo gli ha dato il tempo di diffondersi indisturbato.

Da notare anche che l’applicazione era firmata con un certificato di sviluppatore valido ora chiaramente ritirato. Questa è anche la prova di quanto la presenza di tali certificati non rappresenti sempre una garanzia di qualità dell’app, in quanto in questo caso sono riusciti a caricare la componente malware nel file di installazione pulito e firmato in tempi molto brevi.

Il resto è più o meno un classico, alla sua attivazione il malware si connette alla rete TOR, scarica il messaggio di richiesta di riscatto e una chiave pubblica a 256-bit per cifrare i file e poi cifra la chiave stessa.

Ah, una cosa, file differenti avranno chiavi di codifica differenti.

E l’estensione sarà .encrypted, bello no?

Per capire se il nostro sistema fosse pulito o meno, avremmo potuto verificare la presenza di un file in qualche percorso del nostro Mac, ad esempio in:

 

Applications/Transmission.app/Contents/Resources/General.rtf

Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Oltre a questo in generale se appare il file General.rtf in qualche percorso e se è in esecuzione un processo chiamato “kernel_service”.

 

Ad oggi questo primo attacco di KeRanger si è chiaramente concluso, in quanto per qualsiasi download di Transmission effettuato tra il 3 e 4 Marzo sono già ampiamente trascorsi i 3 giorni di delay. Per cui in questo momento, fino a prova contraria, è scaricabile la versione lecita, in quanto già dal 11/3/16 era disponibile la 2.92. Il certificato utilizzato è stato revocato da Apple per fare in modo di impedire l’installazione della 2.90 malevola, comunque potenzialmente ancora in circolazione con sistemi e canali diversi.

 

mRAT  – Mobile Remote Access Trojan

La condizione necessaria a questo tipo di malware per essere installato è che sul dispositivo iOS sia stato effettuato il “Jailbreak”. Si tratta di un’operazione che sblocca la possibilità di scaricare e/o installare App dagli store non ufficiali, per cui prive di firma e per ovvie ragioni non disponibili sull’Apple Store.

Per prima cosa questi tipi di attacchi cercano di sfruttare l’abitudine poco ortodossa degli utenti di effettuare il Jailbreak, ovvero la spontanea intraprendenza di rendere i propri dispositivi gravemente vulnerabili. Nel Febbraio del 2013 in soli 4 giorni sono stati sbloccati 7 milioni di device tramite EvasiOn, un noto software apposito.

Ma esistono anche altri metodi per porre il dispositivo in questa condizione all’insaputa dell’utilizzatore.

Dato il particolare scopo che hanno gli mRATs, che vedremo successivamente, spesso questi attacchi sono mirati e preparati, infatti in alcuni casi il Jailbreak è stato effettuato addirittura con accesso fisico al dispositivo da parte dell’hacker, in altri, iniettando il codice maligno tramite un PC compromesso collegato via USB.

Altre tecniche per forzare l’utente ad effettuare il Jailbreak si riconducono a metodi di phishing e social engineering, tramite le quali viene raggirato e portato ad effettuare l’operazione.

Non ci sono note tecniche in grado di agire da remoto senza alcun tipo di intervento o azione fisica sul device.

Superato questo primo step il dispositivo è pronto per accettare il trojan mobile, la cui installazione può essere provocata in diversi modi:                         

  • Scaricando un’app compromessa da uno store non ufficiale, quindi contenente anche il trojan stesso. Questo ad opera dell’utilizzatore o di qualcun altro che riesce a disporre del dispositivo per alcuni istanti.
  • Tramite una mail di un falso mittente, che si spaccia per un nostro conoscente e sfrutta la nostra fiducia per portarci a cliccare su un link o aprire un allegato.
  • Navigando direttamente su un sito Web malevolo, che all’apertura della pagina web installa il trojan.

 

L’operato di questi mRAT non altera le performances del dispositivo e non modifica l’estetica dell’App che lo ospita, per questo è molto difficile accorgersi della loro presenza prima che inizino a manifestarsi gli effetti.

A prescindere dal trojan e dalla sua versione specifica, lo scopo è sempre riconducibile alla volontà di trafugare dati sensibili inviandoli all’esterno verso server hackerati. Ad oggi le famiglie conosciute sono 8 e tra le più diffuse troviamo Mspy, Spy2Mobile e Bosspy.

Questi malware attuano funzioni di keylogging e di form grabbing per leggere password di accesso e dati bancari inseriti dagli utenti, oppure tramite le API accedono ai dati della rubrica, attivano la fotocamera per spiare in tempo reale o registrare il video, analogamente l’audio dal microfono, non solo leggere ma anche inviare SMS e utilizzare la chat di Waths’Up o la posta elettronica .

Insomma, in base alla versione del mRAT è possibile fare una o tutte queste cose.

L’errore più grosso che possiamo fare è sottovalutare l’inventiva e la creatività degli Hacker, le tecnologie evolvono e si radicano sempre di più nelle nostre vite, con l’ IoT cosa succederà?

In pochissimi anni avremo qualsiasi cosa connessa in Internet, già ci sono le Smart TV con la fotocamera a bordo, ci pensate? Tranquilli la sera, sul divano e spiati.

Attualmente dal mio punto di vista la sfera più pericolosa è quella del mobile, perché da uno smartphone si possono fare molti più danni che da un PC, tanto negli aspetti professionali quanto in quelli privati.

Spero di esserti stato utile, ma tu non perdere l'occasione di seguire il nostro blog, ogni settimana pubblicheremo nuovi articoli per aiutarti ad affrontare le sfide sulla sicurezza informatica.

Inoltre, in questa guida puoi trovare le opnioni di oltre 3.000 IT Manager, che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016" e completato con molti consigli utili sulle contromisure da attuare per proteggere i tuoi sistemi.  

 

 

Cristiano Pastorello

DPO & Amazon Web Service Specialist
Scroll