Investigadores han revelado una técnica novedosa mediante la cual el malware en iOS puede persistir en un dispositivo infectado al simular su proceso de apagado, lo que hace imposible determinar físicamente si un iPhone está apagado o no.
El descubrimiento, denominado " NoReboot ", es cortesía de la empresa de seguridad móvil ZecOps, que descubrió que es posible bloquear y luego simular una operación de reinicio de iOS, engañando al usuario haciéndole creer que el teléfono se apagó cuando, en realidad, todavía está corriendo.
La empresa con sede en San Francisco lo llamó "el último error de persistencia [...] que no se puede reparar porque no explota ningún error de persistencia en absoluto, solo juega trucos con la mente humana".
NoReboot funciona interfiriendo con las rutinas utilizadas en iOS para apagar y reiniciar el dispositivo, lo que evita que sucedan en primer lugar y permite que un troyano logre persistencia sin una persistencia tradicional ya que el dispositivo nunca se apaga.
Esto se logra inyectando un código especialmente diseñado en tres demonios de iOS, a saber, InCallService, SpringBoard y Backboardd , para simular un apagado al deshabilitar todas las señales audiovisuales asociadas con un dispositivo encendido, incluida la pantalla, los sonidos, la vibración, el indicador de la cámara y la retroalimentación táctil.
Dicho de otra manera, la idea es dar la impresión de que el dispositivo se apagó sin apagarlo realmente al secuestrar el evento que se activa cuando el usuario presiona y mantiene presionados simultáneamente el botón lateral y uno de los botones de volumen, y arrastra el "deslizante". para apagar".
"A pesar de que deshabilitamos todos los comentarios físicos, el teléfono sigue siendo completamente funcional y es capaz de mantener una conexión a Internet activa", explicaron los investigadores. "El actor malicioso podría manipular remotamente el teléfono de una manera flagrante sin preocuparse de ser atrapado porque se engaña al usuario haciéndole creer que el teléfono está apagado, ya sea porque la víctima lo apagó o porque los actores maliciosos usaron 'batería baja' como excusa. ."
Luego, la cepa de malware obliga a SpingBoard, que se refiere a la interfaz gráfica de usuario de iOS, a salir (a diferencia de todo el sistema operativo), y luego ordena a BackBoardd, el demonio que maneja todos los eventos táctiles y de clic de botón físico, para que muestre el logotipo de Apple. efecto si el usuario opta por volver a encender el teléfono mientras el código malicioso persiste.
Lo que es más, esta técnica podría extenderse teóricamente para manipular un reinicio forzado asociado con un iPhone haciendo que el logotipo de Apple aparezca deliberadamente unos segundos antes cuando dicho evento se registra a través de Backboardd, engañando a la víctima para que suelte el botón lateral sin realmente activando un reinicio forzado.
Aunque hasta la fecha no se ha detectado ni documentado públicamente ningún malware utilizando un método similar a NoReboot, los hallazgos destacan que incluso el proceso de reinicio de iOS no es inmune a ser secuestrado una vez que un adversario ha obtenido acceso a un dispositivo de destino, algo que está al alcance. de grupos de estados-nación y mercenarios cibernéticos por igual.
"Las amenazas no persistentes lograron 'persistencia' sin explotaciones persistentes", concluyeron los investigadores. Se puede acceder a un exploit de prueba de concepto (PoC) que demuestra NoReboot a través de GitHub aquí .
