Investigadores publican código para falsificar reinicio de iPhone

Los investigadores de seguridad publicaron un código de prueba de concepto de una falsificación de iOS que oculta el proceso de reinicio. Eso hace que sea más difícil para un usuario reiniciar un teléfono, lo que permite que los propagadores mantengan el malware en un dispositivo.

El código fue creado por ZecOps, que publicó la prueba de concepto en GitHub. Es un troyano que los investigadores llaman NoReboot. Es una herramienta que oculta el reinicio de un iPhone. Los investigadores dicen que es interesante para los distribuidores de malware porque reduce la necesidad de persistencia.

Muchos tipos de malware desaparecen de un teléfono después de que se reinicia; el malware persistente es mucho más difícil de crear y, por lo tanto, más raro y valioso. Los investigadores están falsificando el proceso de reinicio, haciendo que parezca que un teléfono se reinicia o incluso está apagado, pero en realidad sigue funcionando. Es claramente una parodia y no una manipulación del sistema. Por tanto, no es un problema de iOS que Apple pueda solucionar.

Los investigadores dicen que pueden inyectar código en tres demonios que se usan al reiniciar. Esos son IncallService, SpringBoard y finalmente Backboardd. El primero es el control deslizante que ven los usuarios cuando intentan reiniciar un iPhone usando los botones de encendido y volumen. Springboard es el proceso de interfaz de usuario de iOS. Al enviar código allí, el troyano puede desactivar temporalmente Springboard. Como resultado, los usuarios ya no pueden proporcionar información en la pantalla.

Finalmente, se aborda Backboardd. Este último no es necesariamente necesario para la parodia, pero se usa para que los usuarios suelten el botón de encendido antes. Si lo mantienen demasiado tiempo, el teléfono aún se reiniciará y la suplantación de identidad ya no funcionará. Es por eso que los investigadores manipulan Backboard para que la rueda giratoria indique más rápidamente que el proceso de reinicio ha comenzado. Al mismo tiempo, Springboard se puede recargar para que parezca que todos los procesos se han reiniciado.

Los investigadores han hecho un video que muestra cómo funciona el proceso. Durante ese proceso, la cámara de un dispositivo sigue funcionando. Por supuesto, los usuarios pueden continuar reiniciando su teléfono de otras maneras, por lo que no es un método infalible.