思科發現了一場針對印度的黑客活動 目標指向iPhone用戶

「用指尖改變世界」

思科Talos團隊的安全專家近日發現了一場「高度針對性」的黑客攻擊活動，攻擊者使用了一種至少自2015年8月以來就一直保持活躍的移動惡意軟體。安全專家認為，攻擊者就位於印度該國，並且只有13部iPhone受到感染。

另外，攻擊被認為是使用移動設備管理（Mobile Device Management，MDM）伺服器進行的。MDM伺服器通常被用於在企業環境中向員工提供某些自定義的應用程序，這些應用程序由於其敏感特性，無法通過iOS官方應用程序商店獲得。

根據Talos團隊的說法，他們發現了由攻擊者使用的MDM伺服器。共有13部各種型號的iPhone被註冊，而攻擊者的目的是將一些受歡迎的合法軟體的惡意版本安裝到這些手機上，其中就包含了前面提到的移動惡意軟體，具有數據收集功能。

受感染iPhone的型號包括iPhone 5.4、iPhone 7.2、iPhone 8.1、iPhone 8.2、iPhone 9.3和iPhone 9.4，iOS版本包括10.2.1、10.3.1、10.3.2、10.3.3、11.0、11.0.3、11.2.1、11.2.5和11.2.6。

Talos團隊介紹說，攻擊者共使用了四款應用程序的惡意版本：WhatsApp，Telegram，PrayTime和MyApp。攻擊者使用了BOptions旁載入技術來將惡意代碼注入到應用程序的動態庫中，而惡意代碼不僅不會干擾手機正常功能的運行，而且應用程序本身也會實現其描述的功能。

這並不是說惡意代碼毫無意義，它被設計為默默地收集特定的數據。WhatsApp和Telegram應用程序中的惡意代碼可以收集和泄露來自受害者的數據，例如電話號碼、序列號、位置、聯繫人、照片、簡訊以及WhatsApp和Telegram消息。

PrayTime應用程序中的惡意代碼只會收集簡訊，並且還包含在受感染設備上顯示廣告的功能。Talos團隊表示，目前尚不清楚為什麼攻擊者會添加這樣一個功能，因為在手機上播放廣告可能會讓受害者注意到自己遭到了惡意軟體的感染。

對於MyApp而言，它並不包含任何惡意代碼，也沒有實施任何惡意行為。Talos團隊認為，它僅被攻擊者用於測試。

有意思的是，攻擊者在攻擊過程中試圖偽裝成俄羅斯黑客，其MDM伺服器所使用的證書包含了位於俄羅斯的電子郵件地址（mail.ru）。然而，Talos團隊發現在MDM伺服器上註冊的測試設備帶有一個印度電話號碼，並且這個號碼註冊於印度網路提供商。

目前，Talos團隊已經將他們的研究結果分享給了蘋果公司，而蘋果公司也對攻擊者所使用的證書進行了撤銷。關於這場攻擊活動的更多細節可以在Talos團隊博客文章中看到，包括IoC。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！