L’esperimento apre un mondo: il malware può indurre un utente iOS a riavviare un iPhone, mantenendolo infetto

Attualmente nessun malware iOS è stato visto, o documentato pubblicamente, utilizzando un trucco simile a NoReboot. Ma in un futuro prossimo potrebbe anche accadere. Lo ha dimostrato una startup di Zuk Avraham (quello di Zimperium) in rapida crescita che definisce la sicurezza informatica mobile.

Il core team di ZecOps, composto da veterani della sicurezza informativa altamente qualificati ed esperti del settore, che si sta espandendo a San Francisco, New York e Tel Aviv ha dimostrato con una ricerca pubblicata in settimana un modo per bloccare e simulare un’operazione di riavvio di iOS.

Malware 20220115 cell
Malware iOS – Adobe Stock

E’ una tecnica che quelli di ZecOps ritengono possa essere estremamente utile per gli aggressori, i quali potrebbero voler indurre gli utenti a pensare di riavviare il proprio dispositivo e, di conseguenza, mantenere l’accesso per il proprio malware su quel sistema infetto.

Meglio difendersi con le classiche app di sicurezza per rimuovere malware!

App di sicurezza - 20220115 cell
App di sicurezza – Adobe Stock

La tecnica è tanto importante quanto grave, perché, in primis, le trasformazioni del malware si stanno ulteriormente evolvendo, insieme ai progressi nella sicurezza del sistema operativo iOS, così tanto che il malware non può raggiungere la persistenza di avvio così facilmente, come una volta.

LEGGI ANCHE >>> Gli smartphone Xiaomi censurano i loro utenti? Ecco cosa c’è di vero

Per questo motivo, oggi, la maggior parte dei ceppi di malware iOS si concentra sull’infezione di un dispositivo, sull’ottenimento dell’accesso come root, sulla raccolta e sullo spionaggio dell’utente fino a quando le vittime non riavviano i loro iPhone e iPad, dopodiché l’attacco tenta di infettare nuovamente la vittima.

LEGGI ANCHE >>> Instagram in stile TikTok, testato un nuovo metodo per le Stories

Nell’ultimo anno molti esperti di sicurezza hanno raccomandato agli utenti che potrebbero essere il bersaglio di attori di minacce dannose di riavviare regolarmente i dispositivi per rimuovere backdoor o altri impianti. Ma ZecOps ha dimostrato con un esperimento ben riuscito che il processo di riavvio di iOS non è immune dal malware che un cyber criminale ha ottenuto con il primo accesso a un dispositivo.

I ricercatori hanno affermato di aver sviluppato una tecnica chiamata NoReboot. Che attinge SpringBoard e Backboardd per rilevare e intercettare un comando di riavvio del Melafonino e quindi disabilitare l’interfaccia utente di SpringBoard, invece di spegnere l’intero sistema operativo.

Questo lascia effettivamente lo schermo dell’iPhone senza interfaccia utente, imitando lo stato in cui si trova solitamente un dispositivo quando è spento. Invece il dispositivo è ancora acceso, ma senza un’interfaccia utente.

Per evitare che il dispositivo squilli o vibri, ZecOps ha affermato che il suo codice di prova NoReboot disabilita anche funzionalità come feedback 3D Touch, indicatori LED della fotocamera e vibrazioni e suoni per eventuali chiamate o notifiche in arrivo. Il codice proof-of-concept include anche una falsa schermata di avvio per completare l’illusione di un riavvio completo di iOS.

ZecOps ha affermato che la tecnica NoReboot funziona con i riavvii regolari ma non con i riavvii forzati, che avvengono a livello di hardware, piuttosto che di software. Una scoperta che evidenzia che gli utenti non dovrebbero fare affidamento esclusivamente sui riavvii di iOS per rimuovere il malware dal proprio dispositivo, ma difendersi con le classiche app di sicurezza.