NoReboot: Reinicio Falso Para Afianzarse En El Sistema
Cómo un reinicio falso ayuda al malware a afianzarse en el sistema operativo de un smartphone sin explotar una vulnerabilidad persistente.
Para estar completamente seguro de que tu teléfono no te está rastreando o escuchando tus conversaciones, puedes apagarlo. Parece lógico; de esta forma, incluso aunque tu teléfono esté infectado con un spyware grave, no podrá hacer nada.
Además, apagar o reiniciar un smartphone es una de las formas más confiables para combatir estas infecciones; en muchos casos, el spyware "vive" solo hasta el siguiente reinicio porque no puede afianzarse de manera permanente en el sistema operativo. A su vez, las vulnerabilidades que permiten que el malware funcione incluso después de un reinicio son raras y caras de explotar.
Sin embargo, esta táctica podría no funcionar siempre. Los investigadores han desarrollado una técnica para evadirla mediante un método al que han llamado NoReboot, un ataque que, en esencia, es un reinicio falso.
¿Qué es NoReboot y cómo funciona el ataque?
En primer lugar, queremos señalar que NoReboot no es una función de ningún spyware real que utilicen los atacantes; en realidad es una prueba de concepto que los investigadores de ZecOps han demostrado en condiciones de laboratorio y ahora mismo es complicado saber sí este método irá ganando terreno.
Para la demostración, los investigadores utilizaron un iPhone que "infectaron" por adelantado. Desafortunadamente, no han compartido los detalles técnicos. Esto es lo que sucede en su demostración:
- El malware espía, que transfiere la imagen de la cámara, se ejecuta en el iPhone.
- El usuario trata de apagar el teléfono como siempre, con los botones de encendido y volumen.
- El malware toma el control y muestra una perfecta, pero falsa, pantalla de apagado de iOS en lugar de la estándar.
- Después de que el usuario arrastre el control deslizante, todo parece perfectamente normal, la pantalla del smartphone se oscurece y el teléfono ya no responde a ninguna de las acciones del usuario.
- Cuando el usuario presiona de nuevo el botón de encendido, el malware muestra una réplica perfecta de la animación de inicio de iOS.
- Durante todo el proceso, el teléfono transfiere continuamente la imagen de la cámara frontal del teléfono a otro dispositivo sin el conocimiento del usuario.
Si necesitas verlo para creerlo, te recomendamos echar un vistazo a este video de los investigadores. Se puede ver el código fuente de la PoC de NoReboot aquí.
De nuevo, y al menos por ahora, NoReboot es solo una demostración de la viabilidad de un ataque. Por supuesto que este ataque es alarmante, pero no olvides que el malware necesita introducirse en el smartphone antes de que pueda causar daños.
Via: blog.segu-info.com.ar