McAfee offre da oltre trent’anni soluzioni utili per difendere i dispositivi da virus e malware. Ora un nuovo pericolo sta colpendo gli iPhone: la tecnica NoReboot. Di cosa si tratta?
Si tratta di una nuova tecnica per iPhone che può dirottare e impedire qualsiasi processo di spegnimento avviato da un utente, simulando un vero spegnimento e consentendo al malware di rimanere attivo in background.
La tecnica furtiva, soprannominata “NoReboot” dai ricercatori, è “l’ultimo bug di persistenza“. L’azienda ha anche presentato una Proof of Concept (PoC) che mostra come utilizzare uno spegnimento falso per mascherare l’attività di spionaggio a distanza.
La tattica fornisce una copertura perfetta per attività dannose, dal momento che un utente infetto potrebbe pensare “che il telefono sia stato spento, ma in realtà è ancora in funzione“, hanno spiegato i ricercatori.
NoReboot su iPhone come funziona
L’approccio NoReboot simula un vero e proprio arresto. L’utente non può sentire la differenza tra uno spegnimento reale e uno spegnimento falso.
Non c’è interfaccia utente o feedback sui pulsanti fino a quando l’utente non riaccende il telefono. L’utente non dovrebbe fidarsi di un normale riavvio.
In genere, gli utenti spengono i propri iPhone tenendo premuti contemporaneamente il volume e il pulsante di accensione, quindi facendo scorrere il cursore “spegnimento” sul touchscreen.
Dopodiché, l’unica vera indicazione che il telefono è effettivamente spento è il fatto che lo schermo non risponde e non si “sveglia” quando viene toccato o quando si fa clic sul pulsante laterale; e, naturalmente, cessano le chiamate, gli SMS e le notifiche delle app.
Per simulare questo stato, NoReboot inizia iniettando codice in tre demoni responsabili del controllo dell’evento di spegnimento:
- InCallService
- SpringBoard
- backboardd
Il codice costringe SpringBoard ad uscire, impedendogli anche di riavviarsi.
Conseguenze NoReboot su iPhone
Quando un utente riaccende il telefono, la routine normale è che il logo Apple venga visualizzato quando il telefono si riattiva.
NoReboot può simulare anche questo, per mantenere l’illusione e convincere l’utente che l’iPhone è stato effettivamente spento e quindi riavviato. Ancora una volta, ciò si ottiene dirottando il processo tramite l’iniezione di codice.
NoReboot intercetta questo processo. L’evento della pressione del pulsante viene registrato e inserito in un oggetto dizionario globale (BKEventSenderUsagePairDictionary).
L’inserimento può essere agganciato utilizzando il metodo Objective-C.
Come difendersi?
Per proteggersi, gli utenti di iPhone dovrebbero eseguire controlli standard per malware e app trojanizzate e adottare le consuete precauzioni di controllo durante il download e l’installazione di nuove app.
Affidarsi ad un buon antivirus come McAfee sarebbe la scelta ideale. Attivalo da qui!
Ti potrebbe interessare
12 gen 2022