Un nuovo malware in grado di attaccare tutti gli iPhone, anche senza jailbreak, è stato recentemente scoperto. La campagna malware in atto, nota con il nome “Operation Pawn Storm” sta iniziando a mietere le prime vittime colpendo dispositivi iOS, tramite un’applicazione che permette di rubare foto, messaggi di testo, contatti e molti altri dati. Questa applicazione, di fatto, può essere installata su tutti i dispositivi dotati di sistema operativo iOS, dal momento che sfrutta una pagina web di phishing e il servizio di provisioning ad-hoc di Apple.

Sempre più spesso, i sistemi operativi di Apple vengono colpiti da parte di campagnare d’attacco mirate. L’ultima campagna, scoperta dalla società di sicurezza Trend Micro, vede come protagonista uno spyware, soprannominato “xagent”, che sfrutta il sistema di provisioning ad-hoc di Apple come principale vettore per attacco. Il sistema di provisioning, di fatto, permette agli sviluppatori e alle aziende di distribuire applicazioni ad un piccolo numero di persone, senza doversi appoggiare necessariamente all’App Store.

Il malware che attacca iOS: come funziona

Il principio di funzionamento è estremamente semplice, dal momento che vengono inviate e-mail di phishing ad alcuni ignari utenti, con la speranza che qualcuno di essi clicchi sul link allegato. A questo punto vengono inviati, in modo completamente automatico, alcuni inviti diprovisioning” ai contatti dell’utente e coloro che ricevono l’invito verranno spinti ad installare un’applicazione ad-hoc. Il meccanismo si basa, principalmente, sul fatto che l’email ricevuta arriva da un conoscente e, quindi, l’utente bersaglio è maggiormente involgliato a conoscere quale tipologia di applicazione vi è dietro il link. A questo punto, l’applicazione spyware verrà automaticamente installata e permetterà ai malintenzionati di prelevare moltissime informazioni presenti sul nostro iPhone.

Inoltre, lo spyware in questione può funzionare in modo completamente “silenzioso” su iOS 7 e versioni precedenti, senza dover essere aperto dall’utente. Per iOS 8, invece, è necessario che l’utente apra l’applicazione e chiudendola o riavviando l’iPhone, lo spyware si blocca e non può proseguire nella raccolta dati. Secondo Trend Micro, xagent è in grado di raccogliere messaggi di testo, elenchi dei contatti, immagini, dati di geolocalizzazione, informazioni su app installate, processi in esecuzione, registrazione audio da remoto e controllare il Wi-Fi. Di fatto, l’unico modo per proteggersi da questa tipologia di attacchi è quella di non cliccare su link sospetti, che invitino ad installazione app “provisioning”, seppur provenendo da conoscenti.

photo credit: iPhone 6+ Screen via photopin (license)