Denominado "NoReboot", bloquea y luego simula una operación de reinicio de iOS
Investigadores han revelado una novedosa técnica mediante la cual el malware en iOS puede lograr la persistencia en un dispositivo infectado al simular su proceso de apagado, lo que hace imposible determinar físicamente si un iPhone está apagado o no.
El descubrimiento, denominado "NoReboot", es cortesía de la empresa de seguridad móvil ZecOps, que descubrió que es posible bloquear y luego simular una operación de reinicio de iOS, engañando al usuario haciéndole creer que el teléfono se ha apagado cuando, en realidad, todavía está encendido.
La empresa con sede en San Francisco lo llamó el "error de persistencia definitivo [...] que no se puede reparar porque no está explotando ningún error de persistencia en absoluto, solo jugando trucos con la mente humana".
NoReboot funciona interfiriendo con las rutinas utilizadas en iOS para apagar y reiniciar el dispositivo, evitando de manera efectiva que sucedan en primer lugar y permitiendo que un troyano logre persistencia sin persistencia, ya que el dispositivo nunca se apaga.
Esto se logra inyectando código especialmente diseñado en tres demonios de iOS, a saber, InCallService, SpringBoard y Backboardd, para fingir un apagado desactivando todas las señales audiovisuales asociadas con un dispositivo encendido, incluida la pantalla, los sonidos, la vibración, el indicador de la cámara y la retroalimentación táctil.
Dicho de otra manera, la idea es dar la impresión de que el dispositivo se ha apagado sin apagarlo realmente secuestrando el evento que se activa cuando el usuario presiona y mantiene presionado simultáneamente el botón lateral y uno de los botones de volumen, y arrastra el control deslizante "deslizar para apagar".
"A pesar de que desactivamos todos los comentarios físicos, el teléfono sigue siendo completamente funcional y es capaz de mantener activa una conexión a Internet", explicaron los investigadores. "El actor malintencionado podría manipular de forma remota el teléfono de manera descarada sin preocuparse de ser atrapado porque el usuario es engañado haciéndole pensar que el teléfono está apagado, ya sea por la víctima o por actores malintencionados que usan 'batería baja' como excusa".
La cepa de malware luego obliga a SpingBoard, que se refiere a la interfaz gráfica de usuario de iOS, a salir (a diferencia de todo el sistema operativo), seguido de ordenar el BackBoardd, el demonio que maneja todos los eventos táctiles y de clic de botón físico, para mostrar el efecto del logotipo de Apple en caso de que el usuario opte por volver a encender el teléfono en ejecución, mientras persiste el código malicioso.
Además, esta técnica podría extenderse teóricamente para manipular un reinicio forzado asociado con un iPhone al hacer que el logotipo de Apple aparezca deliberadamente unos segundos antes cuando tal evento se registra a través de Backboardd, engañando a la víctima para que suelte el botón lateral sin desencadenar realmente un reinicio forzado.
Aunque hasta la fecha no se ha detectado ni documentado públicamente ningún malware con un método parecido a NoReboot, los hallazgos destacan que incluso el proceso de reinicio de iOS no es inmune a ser secuestrado una vez que un adversario ha obtenido acceso a un dispositivo objetivo, algo que está al alcance por igual de grupos de estados-nación y cibermercenarios.
"Las amenazas no persistentes lograron 'persistencia' sin exploits de persistencia", concluyeron los investigadores. Se puede acceder a través de GitHub a un exploit de prueba de concepto (PoC) que demuestra NoReboot.