TinyV: nueva amenaza para dispositivos iOS con Jailbreak

imessage-623x427

Cuando analizamos la seguridad de dispositivos móviles como smartphones y tabletas casi todos los incidentes de seguridad y amenazas se los lleva Android (cosas de ser el sistema operativo más utilizado en plataformas móviles).

Sin embargo, llevamos ya algún tiempo viendo como cada vez aparecen más amenazas para dispositivos iOS como iPhone o iPad, en un número mucho menor que las amenazas para Android pero lo suficientemente relevantes como para tenerlas en cuenta.

Nuevo troyano para iOS

Esta nueva amenaza, identificada como TinyV por los investigadores de Palo Alto que la descubrieron y empezaron a analizar en octubre, está diseñada para infectar dispositivos iOS que tengan realizado el Jailbreak. Durante el mes de diciembre han sido varias las infecciones por este malware reportadas por usuarios residentes en China.

Los investigadores han descubierto que este troyano había sido incluido en varias aplicaciones de iOS modificadas que podían descargarse desde varios canales. Entre las aplicaciones modificadas para funcionar en dispositivos con el Jailbreak realizado encontramos “Watermelon Player”, “Youku” o “iQiYi”, entre otras.

tinyv2

Aplicaciones maliciosas en webs de terceros – Fuente: Palo Alto Networks

El caso de la aplicación “Watermelon Player” es especialmente llamativo puesto que la aplicación maliciosa se encontraba disponible desde su web oficial. Esta aplicación se utiliza para ver contenido obtenido de forma ilícita, mientras que las otras dos aplicaciones mencionadas son versiones sin publicidad de conocidos reproductores de vídeo en China.

Infección del dispositivo

Una vez que el usuario ha descargado la aplicación maliciosa, esta empieza a comunicarse con servidores controlados por los delincuentes y a descargar más ficheros maliciosos. Entre las acciones que realiza el malware una vez instalado en el dispositivo se encuentran las siguientes:

  • Conexión con el servidor de control de los delincuentes para recibir comandos remotamente.
  • Instalación de ficheros IPA o DEB en segundo plano.
  • Desinstalación de ficheros IPA o DEB en segundo plano.
  • Cambios en el archivo /etc/hosts

Como podemos observar, los delincuentes tendrían prácticamente el control de los dispositivos infectados y podrían incluso instalar nuevos códigos maliciosos que les permitirían hasta robar información confidencial almacenada en el dispositivo.

Conclusión

Tal y como ha sucedido en ocasiones anteriores, estas amenazas parecen centrarse en China y es poco probable que usuarios fuera de ese país resulten infectados. Sin embargo, este tipo de casos nos vienen bien para recordar que disponer de un iPhone o iPad con el Jailbreak realizado requiere que el usuario sepa lo que hace.

Dotar a nuestro dispositivo de la capacidad de hacer más cosas que las establecidas por el fabricante está muy bien pero se ha de tener la responsabilidad necesaria para poder evitar amenazas de este tipo, y esto es perfectamente aplicable a aquellos usuarios que rootean sus dispositivos Android.

Josep Albors

Vectores de ataques clásicos para propagar amenazas modernas