Onderzoekers van Cisco hebben een gebackdoorde versie van Safari ontdekt die wachtwoorden van iPhone-gebruikers steelt. De aangepaste versie werd via mobile device management (MDM) op toestellen geïnstalleerd. Via MDM is het mogelijk voor een beheerder om op afstand bijvoorbeeld applicaties te installeren en verwijderen en instellingen door te voeren.

Een toestel moet echter eerst voor MDM worden aangemeld. Een aanvaller kan dit doen door fysieke toegang tot een iPhone te verkrijgen of het slachtoffer via social engineering te verleiden om de benodigde acties uit te voeren. Onlangs waarschuwde Cisco dat het dertien iPhones in India had ontdekt die via MDM met malware waren besmet. Het ging om gebackdoorde versies van onder andere WhatsApp en Telegram die informatie naar de aanvallers terugstuurden, zoals telefoonnummer, serienummer, locatie, contacten, foto's, sms-, Telegram- en WhatsApp-berichten.

Verder onderzoek van Cisco leidde naar een nieuw MDM-platform en meer besmette iPhones, waaronder een iPhone met een Brits telefoonnummer die zich in Qatar bevindt en toestellen in India. Wederom werden op het nieuwe MDM-platform gebackdoorde versies van WhatsApp en Telegram aangetroffen. Ook vonden de onderzoekers een gebackdoorde versie van Safari. De aangepaste Safari-versie stuurt allerlei informatie naar de aanvallers, waaronder contactgegevens van de gebruiker, zoals foto, naam, e-mailadres en adresgegevens, alsmede cookies en informatie van het clipboard. Verder probeert de aangepaste Safari-versie de iTunes-login van de gebruiker te stelen en inloggegevens van allerlei websites en diensten, waaronder Yahoo, Amazon, Pinterest, Reddit, Google, Baidu, ProtonMail en Tutanota. De malware monitort hiervoor de websites die de gebruiker bezoekt en stuurt de ingevulde gebruikersnaam en wachtwoord vervolgens door.

Afsluitend laten de onderzoekers van Cisco weten dat de infrastructuur van de aanvallers niet alleen tot iOS is beperkt, maar die zich ook op Windows-platformen richt. Verder zijn er aanwijzingen dat de aanvallers zich met Android-malware bezighouden. "Het gebruik van een kwaadaardige MDM is gemakkelijk en het systeem is goed gedocumenteerd. Gegeven de effectiviteit van MDM-misbruik, is het waarschijnlijk dat goed gefinancierde aanvallers hier gebruik van zullen blijven maken", zegt onderzoeker Warren Mercer. Hij merkt op dat het aanmelden van een iPhone voor MDM medewerking van de gebruiker vereist. "Het is dan ook cruciaal dat ze van deze dreiging bewust zijn en weten welke gevaren het voor hun data en privacy kan vormen."