Una filtración masiva de datos ha revelado la utilización de un malware espía para iOS, llamado Pegasus, el cual ha atacado a más de 50.000 periodistas, activistas y profesionales del ámbito jurídico de más de 50 países. En concreto, Pegasus es un malware que infecta los dispositivos iPhone permitiendo a los atacantes robar datos críticos y privados, incluyendo llamadas telefónicas, fotos y mensajes.
Este software malicioso dirigido a móviles fue creado originalmente contra delincuentes y terroristas, sin embargo, su uso se ha extendido a todo el mundo. La investigación, filtrada por 17 medios de comunicación, parece mostrar cómo se identificaron y atacaron a personas de interés público, muchas de ellas dentro de organizaciones de derechos humanos y activistas, así como altos empleados del gobierno y miembros de familias reales.
Se desconocen los orígenes de la filtración de datos. Forbidden Stories y Amnistía Internacional estuvieron trabajando juntos al principio del incidente para llevar a cabo una investigación forense antes de hacer partícipes de las averiguaciones a los medios de comunicación internacionales.
En el informe filtrado, hay más de 50.000 números de teléfono que pertenecen a personas de medio centenar de países, y aunque la presencia de los números no significa que todos estén infectados, la conclusión es que existe una campaña de vigilancia en curso. Por otra parte, la investigación forense reveló que muchos de los números contenían componentes del programa espía Pegasus en sus dispositivos móviles.
En 2016, los investigadores de Zimperium llevaron a cabo un análisis sobre Pegasus, ya que se dirigía a dispositivos iOS. En aquel momento, el ataque encadenado se aprovechaba de tres vulnerabilidades de zero day no parcheadas dentro de la plataforma iOS para atacar y espiar el móvil. Aunque Apple parcheó los zero days en iOS 9.3.5, Pegasus ha seguido desarrollándose e implementando nuevas formas de explotar estos dispositivos.
Según las averiguaciones obtenidas por Amnistía Internacional y Forbidden Stories, y verificada de forma independiente por el equipo de investigación de amenazas de Zimperium zLabs, la última versión de Pegasus es capaz de comprometer de forma remota todas las anteriores iOS.
Los detalles sobre los datos filtrados y la investigación todavía se están dando a conocer, pero no hay duda de que los endpoints móviles son un objetivo prioritario cada vez más de vigilancia y de robo de datos. Este es sólo un ejemplo, la superficie de ataque móvil sigue creciendo y, con ella, el número de amenazas, vulnerabilidades, exploits y campañas de hacking activas.
Pegasus vs. Zimperium
Los clientes de Zimperium ZIPS están protegidos contra Pegasus gracias al motor de Machine Learning de z9 Mobile Threat Defense.
El equipo de Zimperium zLabs ha llevado a cabo un análisis técnico en profundidad de los datos filtrados, mostrando que la solución de defensa contra amenazas móviles zIPS detecta y protege a los clientes de la explotación del dispositivo, sin necesidad de actualización. Parte de los datos filtrados revelaron que había más de 1.400 dominios como indicadores de compromiso, y la solución de detección antiphishing Zimperium zIPS impedirá el acceso de estos dominios si son visitados o utilizados por una aplicación comprometida.
Este ataque sería reportado como un evento crítico de “Manipulación del Sistema” dentro de zIPS y zConsole. Para asegurarse de que los usuarios de iOS están protegidos de Pegasus, Zimperium recomienda una rápida evaluación de riesgos. Dentro de zConsole, los administradores pueden revisar qué aplicaciones están cargadas lateralmente en el dispositivo que podrían estar aumentando la superficie de ataque y poniendo a los usuarios y los datos en riesgo.
Puede leer el artículo original aquí.