Una nuova campagna malware nota nel settore della sicurezza come “Operation Pawn Storm” ha iniziato a colpire i dispositivi iOS, con una nuova applicazione malware capace di rubare foto, messaggi di testo, contatti e altri dati anche su iPhone non-jailbroken. Questa app può essere installata sfruttando una pagina di phishing e il servizio di provisioning ad-hoc di Apple.
Soprannominato “xagent” dalla società di sicurezza Trend Micro, il nuovo spyware utilizza il sistema di provisioning ad-hoc di Apple come vettore per l’attacco. La funzionalità di provisioning è destinata a quelle imprese e a quegli sviluppatori che desiderano distribuire le app per un piccolo gruppo di persone, permettendo così al dev di bypassare l’App Store.
Quello del provisioning è un processo molto complesso, che invia diverse notifiche all’utente che deve installare l’app. Come risultato, l’operazione Pawn Storm è stata pensata in questo modo: vengono inviate e-mail di phishing nella speranza che qualche utente “distratto” clicchi su qualche link allegato. Una volta scovato il pollo, il sistema è in grado di far partire degli inviti di “provisioning” ai contatti dell’utente che è cascato nel phishing. In questo modo, chi riceve l’invito ad installare un’app ad-hoc si fiderà, perchè l’e-mail proviene da un proprio conoscente. A quel punto, installerà questa applicazione spyware, consentendo ai malintenzionati di carpire diversi dati presenti sull’iPhone.
Come spiega Trend Micro “la notizia buona è che questo attacco non può essere fatto automaticamente, in quanto l’utente deve comunque effettuare una serie di operazioni per installare il malware“.
Tra l’altro, una volta installato, lo spyware in questione è in grado di funzionare senza essere aperto dall’utente solo su iOS 7 e precedenti. Su iOS 8 è necessario che l’utente apra manualmente quell’applicazione appena installata, ma chiudendola o riavviando il dispositivo lo spyware si blocca e deve essere nuovamente riaperto.
xagent è in grado di raccogliere i dati sui messaggi di testo, gli elenchi dei contatti, le immagini, i dati di geolocalizzazione, le informazioni sulle app installate e sui processi in esecuzione e lo stato del Wi-Fi. Il malware è anche in grado di avviare una registrazione audio in remoto, sfruttando il microfono del dispositivo.
Come al solito, gli utenti possono ridurre il rischio di essere infettati evitando di cliccare su link sospetti, e assicurandosi eventualmente che gli inviti ad installare app “provisioning” ad-hoc siano reali.