Các thiết bị iOS trở thành mục tiêu của chiến dịch gián điệp mạng

“Operation Pawn Storm“, một chiến dịch tình báo mạng nhắm mục tiêu vào các tổ chức quân sự, chính phủ và các phương tiện truyền thông, đã mở rộng phạm vi hoạt động vì các nhà nghiên cứu bảo mật phát hiện ra các công cụ độc hại kết nối với các hoạt động của chiến dịch này và được thiết kế cho nền tảng iOS.

Hai phiên bản của phần mềm độc hại đã được tìm thấy, cả hai đều dành cho mục đích gián điệp. Một trong số đó được gọi là XAgent và cái kia lấy tên từ một trò chơi hợp pháp trong thế giới iOS, MadCap.

Máy chủ C&C đang hoạt động

Trend Micro đã tìm được hai mẫu và sau khi phân tích, các nhà nghiên cứu xác định rằng chúng có liên quan đến Sednit, một mảnh của phần mềm độc hại được sử dụng trên Windows bởi các tội phạm đằng sau Operation Pawn Storm.

XAgent bao gồm một loạt các khả năng, chẳng hạn như ăn cắp tin nhắn văn bản, danh sách liên lạc, lấy hình ảnh, thu thập thông tin chi tiết vị trí địa lý, file ghi âm giọng nói, lấy danh sách các ứng dụng được cài đặt và các chương trình đang chạy, cũng như kiểm tra tình trạng WiFi hiện tại.

Tất cả các dữ liệu được thu thập bởi phần mềm gián điệp có thể được tải lên một máy chủ từ xa thông qua giao tiếp FTP. Theo một bài viết trên blog từ Trend Micro, máy chủ C&C liên lạc với cả hai phiên bản của phần mềm độc hại vẫn chạy vào hôm thứ tư (3/2).

Dường như XAgent đã được tạo ra cho các phiên bản iOS trước iOS 8, bởi vì trên bản mới nhất của hệ điều hành di động, hoàn toàn dễ thấy phần mềm gián điệp này: biểu tượng của nó có thể nhìn thấy trên các thiết bị bị ảnh hưởng và quá trình của nó không có khả năng khởi động lại nếu chấm dứt.

Mặt khác, trên iOS 7, công cụ độc hại ẩn biểu tượng của nó và chạy trong background; cũng như quá trình của nó ngay lập tức được khởi động lại khi nó bị tăt.

Provisioning profile ad-hoc của Apple bị lạm dụng

MapCap, phiên bản thứ hai của phần mềm gián điệp bị phát hiện, quan tâm nhiều hơn đến việc nắm bắt thông tin âm thanh, Trend Micro giải thích. Tuy nhiên, phần mềm độc hại không thể chạy trên các thiết bị không được phá khoá (jailbreak).

Theo như các phương pháp phân phối có liên quan, các nhà nghiên cứu quan sát thấy XAgent đã được cài đặt bằng cách sử dụng provisioning profile ad hoc, công cụ dành cho các nhà phát triển iOS để thử nghiệm các ứng dụng của họ trong môi trường thực tế trước khi phát hành.

Nó là một phương pháp phát tán hạn chế cho phép đăng ký lên đến 100 thiết bị của các nhà phát triển, nhưng nó có lợi thế là không có cổng bảo vệ tại chỗ. Mồi nhử có thể là bất kỳ liên kết nào trỏ đến một dịch vụ cài đặt phần mềm trên mạng và do tội phạm điều khiển.

Các nhà nghiên cứu cho biết “Có thể có các phương pháp lây nhiễm khác được sử dụng để cài đặt phần mềm độc hại đặc biệt này. Một kịch bản có thể là việc lây nhiễm một chiếc iPhone sau khi kết nối nó với một máy tính xách tay Windows bị xâm nhập hoặc bị lây nhiễm thông qua một cáp USB”.

Softpedia