El malware de IOS puede simular el apagado del iPhone para fisgonear en la cámara y el micrófono

Los investigadores han desarrollado una nueva técnica que simula apagar o reiniciar iPhones, evitando la eliminación de malware y permitiendo a los piratas informáticos espiar en secreto los micrófonos y recibir datos confidenciales a través de una conexión de red en vivo.

Históricamente, cuando el malware infecta un dispositivo iOS, se puede eliminar simplemente reiniciando el dispositivo, lo que borra el malware de la memoria.

Sin embargo, esta técnica conecta las rutinas de apagado y reinicio para evitar que ocurran, lo que permite que el malware logre la persistencia ya que el dispositivo nunca se apaga.

Dado que este ataque, al que los investigadores se refieren como "NoReboot", no explota ninguna falla en iOS y, en cambio, se basa en un engaño a nivel humano, Apple no puede corregirlo.

Simular un reinicio convincente

Para reiniciar el iPhone, debe mantener presionado el botón de encendido y uno de los botones de volumen hasta que aparezca el control deslizante con la opción de reinicio, luego espere unos 30 segundos para que se complete la acción.

Cuando se apaga un iPhone, su pantalla se oscurece naturalmente, la cámara está apagada, la respuesta táctil 3D no responde a las pulsaciones prolongadas, los sonidos de llamadas y notificaciones se silencian y no hay vibraciones.

Los investigadores de seguridad de ZecOps han desarrollado una herramienta Trojan PoC (Prueba de concepto) que puede inyectar código especialmente diseñado en tres demonios de iOS para simular un apagado desactivando todos los indicadores anteriores.

El troyano secuestra el evento de apagado conectando la señal enviada al "SpringBoard" (demonio de interacción de la interfaz de usuario).

En lugar de la señal esperada, el troyano enviará un código que obligará a "SpingBoard" a salir, haciendo que el dispositivo no responda a la entrada del usuario. Este es el disfraz perfecto en este caso porque los dispositivos que entran en un estado de apagado naturalmente ya no aceptan la entrada del usuario.

A continuación, se ordena al demonio "BackBoardd" que muestre la rueda giratoria que indica que el proceso de apagado está en curso.

"BackBoardd" es otro demonio de iOS que registra eventos táctiles de pantalla y clic de botón físico con marcas de tiempo, y luego abusar de ellos le da al troyano el poder de saber cuándo el usuario intenta "encender" el teléfono.

Al monitorear estas acciones, se puede engañar al usuario para que suelte el botón antes de lo esperado, evitando un verdadero reinicio forzado.

ZecOps describe el siguiente paso en el ataque "NoReboot" de la siguiente manera:

El archivo activará el SpringBoard y activará un bloque de código especial en nuestro dylib inyectado. Lo que esto hace es aprovechar el acceso SSH local para obtener privilegios de root, por lo que ejecutamos / bin / launchctl reboot userspace.

Esto cerrará todos los procesos y reiniciará el sistema sin tocar el kernel. El kernel permanece parcheado. Por lo tanto, el código malicioso no tendrá problemas para continuar funcionando después de este tipo de reinicio. El usuario verá el efecto del logotipo de Apple al reiniciar.

Esto también lo maneja backboardd. Cuando se inicia SpringBoard, el tablero le permite a SpringBoard tomar el control de la pantalla.

El usuario regresa a una interfaz de usuario normal con todos los procesos y servicios ejecutándose como se esperaba, sin indicación de que acaba de realizar un reinicio simulado.

Zecops creó un video que muestra la técnica NoReboot en acción, que ilustra cómo puede engañar fácilmente a cualquiera para que piense que su dispositivo se ha apagado.

Nunca confíe en que un dispositivo esté completamente apagado

Apple introdujo una nueva función en iOS 15, que permite a los usuarios localizar sus iPhones a través de "Find Mine" incluso si están apagados.

En iOS 15, el teléfono es visible incluso cuando está "Apagado". pic.twitter.com/gfi4WJfula

- Costantino Raiu (@craiu) 27 de septiembre de 2021

Apple no se ha molestado en explicar exactamente cómo funciona, pero los investigadores han descubierto que se logra manteniendo el chip Bluetooth LPM activo y funcionando de forma autónoma incluso cuando el iPhone está apagado.

Si bien todas las interacciones del usuario con el dispositivo están deshabilitadas, el chip Bluetooth continúa señalando su presencia a los dispositivos cercanos al operar en modo de bajo consumo, aunque a intervalos más largos que los 15 minutos predefinidos.

Esto demuestra que nunca se puede confiar en que un dispositivo se apague por completo, incluso cuando apaga el teléfono.

Del mismo modo, la técnica "NoReboot" hace que sea imposible detectar físicamente si un iPhone está apagado o no, ya que su dispositivo parece estar apagado por todas las apariencias.

Además, los desarrolladores de malware y los piratas informáticos ahora pueden lograr la persistencia en dispositivos iOS con esta técnica, donde la recomendación habitual de reiniciar un iPhone para eliminar infecciones ya no funciona.