黑客利用恶意 MDM 解决方案高精准监控 iPhone 用户

翻译：360代码卫士团队

安全研究人员发现一款“高精准”移动恶意软件，自2015年8月就开始运行恶意活动并监控位于印度的13部iPhone 手机。

攻击者被指源自印度，他们滥用移动设备管理 (MDM) 协议发动攻击。大企业通过 MDM 协议控制并在员工使用的设备上执行策略，以远程控制并部署恶意应用。

iOS 设备用户注册 MDM 需要手动安装通过苹果的开发者企业计划获得的企业开发证书。企业通过 Apple Configurator 的空中传输邮件或网页传播 MDM 配置文件。

用户安装 MDM 后，企业管理员能远程控制设备、安装/删除应用、安装/撤销证书、锁定设备、更改密码要求等。

苹果解释 MDM 时表示，“MDM 使用苹果推送通知服务 (APNS) 向管理设备传播叫醒信息。设备随后连接至预定的web 服务检索命令并返回结果。”

由于注册进程的每一个步骤都要求用户交互，如在 iPhone 上安装证书颁发机构等，因此目前尚不清楚攻击者是如何设法让13部iPhone 注册自己的 MDM 服务的。

然而，发现该恶意活动的思科 Talos威胁情报团队认为，攻击者可能是通过社工机制如虚假的技术支持类电话，或者是通过对目标设备的物理访问权限而实现目标。

研究人员指出，攻击者使用 MDM 服务远程将合法应用的修改版本安装到目标 iPhone 上，旨在秘密监控用户、从聊天应用中盗窃用户实时位置、通讯录、照片、短信和私密信息。

为了将恶意功能添加至加密通讯类应用如 Telegram 和 WhatsApp 中，攻击者使用 “BOptions侧加载技术”将动态库注入合法应用中。

研究人员解释称“注入库能要求获得额外权限、执行代码并从原始应用中窃取信息等。”

注入至 Telegram 和 WhatsApp 应用中的恶意软件旨在将受攻陷设备的通讯录、位置信息和图像发送至位于 hxxp[:]//techwach[.]com 的远程服务器中。

研究人员指出，“Talos 在这次针对印度的恶意活动中找到了执行恶意代码的另外一款合法应用。PrayTime 用于向用户通知请求 (pray) 的时间。目的是下载并向用户展示具体广告内容。这款应用还利用私有框架读取所安装的短信并将信息上传至 C2 服务器。”

目前尚不知晓恶意活动的攻击者身份、被攻击的目标以及攻击动机是什么，但研究人员表明攻击者源自印度，并通过伪装成俄罗斯人植入“伪旗”。

Talos 研究人员表示，“在3年的时间里，攻击者仍然处于雷达之下，可能是因为受攻陷设备数量少的原因。我们发现测试设备使用一个某印度运营商下的印度电话号码注册了 MDM 服务。所有的技术详情都说明攻击者和受害者都位于印度。”

截止本文成稿前，苹果公司已撤销了和该恶意活动相关的3个证书，并在得到 Talos 团队通知后，苹果公司还撤销了其余的两个证书。

原文链接

https://thehackernews.com/2018/07/mobile-device-management-hacking.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。