Triangulación iOS, el nuevo ciberataque contra los iPhone que se infectan con sólo recibir un mensaje

La firma de ciberseguridad Kasperskyha identificado un nuevo tipo de ciberataque contra los móviles iPhoneque los infecta e instala spywarecon la simple recepción de un mensaje, a través de iMessage, y sin que el usuario tenga que realizar ninguna acción. El equipo de investigadores de Kaspersky aún lo está estudiando, pero ya ha adelantado que la información que roba Triangulación, así lo han bautizado, comprende grabaciones del micrófono, fotos a través de las aplicaciones de mensajería instantánea, geolocalización y otros datos sobre la actividad del usuario con el dispositivo.

Aunque se ha descubierto ahora, Kaspersky ha podido concluir que el malware está circulando al menos desde 2019, por lo que el número de dispositivos infectados podría ser significativo.

Según ha explicado Eugene Kaspersky en una publicación en el blog de la compañía, a comienzos de año detectaron una actividad inusual mientras monitoreaban la red corporativa de Kaspersky, proveniente de terminales iPhone de empleados de la compañía correspondientes a posiciones intermedias y altas.

Dada la naturaleza cerrada del sistema operativo de Apple, los investigadores no disponían de herramientas para analizar directamente los dispositivos. Por este motivo decidieron crear copias de respaldo para examinarlas offline con una herramienta externa, Mobile Verification Toolkit (MVT), que permite realizar un análisis forense de dispositivos iOS y Android.

Con este examen forense identificaron varios indicios de la infección de los dispositivos y pudieron reconstruir como se había producido. Primero, el iPhone objeto del ataque recibe un mensaje “invisible” con un archivo malicioso adjunto. Este archivo contiene un exploit, un código que aprovecha vulnerabilidades de un sistema para realizar acciones no autorizadas.

We've discovered a new cyberattack against iOS called Triangulation.

The attack starts with iMessage with a malicious attachment, which, using a number of vulnerabilities in iOS installs spyware. No user action is required.#IOSTriangulationpic.twitter.com/daxEYZwXwD

— Eugene Kaspersky (@e_kaspersky) June 1, 2023

El usuario no ve el mensaje en ningún momento y no es necesario que interactúe con él para que se active la infección. Esta se produce desde el momento de la recepción del mensaje aprovechando vulnerabilidades de iOS que permiten que el código malicioso se ejecute. A partir de ese momento, se conecta a un servidor remoto controlado por los atacantes desde el que descarga spyware y nuevos exploits que le permiten una escalada de privilegios. El análisis de todo lo que recibe no está completado, pero Kaspersky afirma que es una plataforma APT (Amenaza Persistente Avanzada, por sus siglas en inglés) completa.

“El código se ejecuta con privilegios de administrador, implementa un conjunto de comandos para recopilar información del usuario y del sistema, y puede ejecutar cualquier código descargado como módulos de complemento del servidor remoto”, explican desde Kaspersky.

Triangulación es efectivo contra móviles iPhone con la versión 15.7 del sistema operativo o inferior. La última disponible es la 16.3, por lo que es recomendable actualizarlo si se tiene la opción. Si no está disponible, puede ser porque se trate de un iPhone algo antiguo que no la soporte o estar deshabilitada la opción de actualizar por Triangulación, el único signo visible del ataque que han encontrado en los iPhone infectados.

La compañía ha señalado que todavía no tienenuna forma de eliminar Triangulación de un dispositivo sin que se pierdan los datos del usuario. De hecho, la recomendación que hacen en el caso de un iPhone infectado es restaurar el móvil a sus valores de fábrica, eliminando en el proceso toda la información personal almacenada en el dispositivo. Y, en lugar de restaurar después una copia de seguridad, reinstalar todas las aplicaciones del usuario desde cero.

Kaspersky, que no cree que éste fuera un ataque específicamente dirigido contra la compañía, ha publicado una herramienta para Windows, Linux y MacOS que permite comprobar, desde el ordenador y sobre una copia de seguridad del dispositivo, si un iPhone está infectado con Triangulación.