Aluvión de nuevas amenazas para sistemas Apple

apple_podrida

No están siendo unas semanas precisamente tranquilas para los sistemas de la manzana. Al descubrimiento de un exploit que permite realizar jailbreak a la última versión de iOS tan solo accediendo a un navegador, y por el cual la empresa Zerodium ha pagado un millón de dólares a los investigadores, se le une varias amenazas de seguridad orientadas tanto a usuarios de iPhone como de ordenadores Mac.

XcodeGhost sigue activo y con más aplicaciones infectadas

A mediados de septiembre hablábamos en este mismo blog de XcodeGhost, o lo que es lo mismo, de cómo se habían conseguido introducir aplicaciones infectadas en la tienda de aplicaciones oficial de Apple mediante el uso por parte de los desarrolladores de un compilador troyanizado.

En ese momento alertábamos de que se habían descubierto más de 300 aplicaciones infectadas, la mayoría utilizadas principalmente en Asia. Ahora, investigadores de FireEye han descubierto que esta amenaza se ha extendido a otros países como Estados Unidos y que pueden suponer un riesgo para las empresas de estos países.

En concreto, estos investigadores han detectado 210 empresas que estarían utilizando aplicaciones infectadas con XcodeGhost dentro de sus redes corporativas. Además, también detectaron más de 28.000 intentos de conectarse a los centros de mando y control de esta amenaza, lo que demuestra que se trata de una botnet particularmente activa aunque los sistemas no estén directamente bajo el control de los atacantes.

Con el lanzamiento de iOS 9, Apple introdujo restricciones en la forma de conectarse que tienen las aplicaciones, permitiendo únicamente las conexiones seguras (https con un cifrado específico). Esto evitaría que las aplicaciones maliciosas se comunicasen con sus centros de mando y control pero los delincuentes han aprovechado una excepción permitida a los desarrolladores para permitir conexiones http.

Esta excepción ha sido introducida en una versión de XcodeGhost más actualizada que permite infectar dispositivos con iOS 9 y evadir así la detección estática, lo que demuestra que los creadores de esta amenaza la evolucionan constantemente y piensan seguir infectando futuras versiones de iOS.

iBackdoor: puerta trasera en cientos de aplicaciones

Pero XcodeGhost no es la única amenaza que trata de publicar aplicaciones maliciosas en la tienda oficial de Apple. De nuevo, investigadores de FireEye han alertado del descubrimiento de una versión troyanizada de una librería usada para mostrar publicidad y que estaba incluida en miles de aplicaciones publicadas en la App Store. El uso ilícito de esta librería podría permitir que un atacante accediera a información confidencial almacenada en un dispositivo, así como controlarlo parcialmente.

Entre las acciones posibles que podría realizar un atacante mediante la ejecución remota de código JavaScript encontramos:

  • Registro de audio y capturas de pantalla
  • Rastreo de la ubicación del dispositivo
  • Capacidad para leer/borrar/modificar/crear ficheros en el contenedor de datos de la aplicación.
  • Capacidad para leer/escribir/resetear la cadena de claves de la aplicación (p.ej.: almacenamiento de contraseñas)
  • Enviar datos cifrados a servidores remotos
  • Abrir esquemas de URLs para identificar y lanzar otras aplicaciones instaladas en el dispositivo.
  • Instalación de aplicaciones no oficiales engañando al usuario para que pulsen sobre un botón de “Instalar”

Hasta el pasado día 4 de noviembre los investigadores habían identificado 2846 aplicaciones de iOS que contenían esta librería troyanizada, con más de 900 intentos de contactar con el servidor capaz de entregar el código JavaScript malicioso. Aun así, no se ha observado que los atacantes hayan utilizado todavía todas las capacidades de esta amenaza, incluyendo las que incluyen el robo de audio o el robo de información confidencial.

Omnirat: una herramienta de control remoto de bajo coste y que afecta a varios sistemas

Para terminar con este listado de amenazas recientes para sistemas de Apple tenemos a OmniRat, una herramienta de control remoto (RAT por sus siglas en inglés) que tiene, entre sus características, la capacidad de afectar en diferente medida tanto a sistemas Windows como Mac OS, GNU/Linux y Android.

Esta RAT ha sido descubierta por investigadores de Avast y, según sus investigaciones, el desarrollador estaría vendiéndola a un bajo coste (entre 25$ y 50$) asegurando que permite tomar el control de sistemas Windows y Android y controlar parcialmente otros sistemas como Mac OS o GNU/Linux.

Por las capturas de pantalla y la información obtenida por los investigadores tras analizar este malware, parece que su creador sería de procedencia alemana. Esta información se ha obtenido tras analizar un caso en Alemania en el que un usuario recibió un mensaje de texto que solicita la descarga de una aplicación para poder visualizarlo correctamente. Si el usuario descarga e instala la aplicación, esta tendrá la posibilidad de controlar totalmente el dispositivo.

Como herramienta de control remoto que es, OmniRat permite a un atacante controlar remotamente todos los aspectos del dispositivo. Sin embargo, el bajo coste de esta herramienta permite que mucha más gente la utilice. Este precio es debido a que reutiliza parte del código de otra herramienta similar par Android que se vende por 200$, por lo que su desarrollador tan solo ha tenido que retocarla mínimamente.

Conclusión

Como acabamos de ver, en un corto espacio de tiempo se han descubierto importantes amenazas que tienen como o entre sus objetivos a los sistemas de Apple, ya sean iOS o Mac OS. Esto demuestra que los atacantes están realizando mayores esfuerzos para conseguir nuevas víctimas, tal vez atraídos por la sensación de invulnerabilidad que muchos usuarios de productos Apple tienen.

Sea como sea e independientemente del sistema operativo que usemos, hay ciertas medidas de seguridad básicas que debemos aplicar, y una de ellas es revisar con cuidado todas aquellas aplicaciones que queramos instalar, y estar alertas por si se produce alguna actividad sospechosa.

Créditos de la foto: patrickmai875 / Foter / CC BY-NC-ND

Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..