Pierwszy w historii atak na urządzenia mobilne firmy z wykorzystaniem MDM-a. Malware przechwytujący SMSy, kody z Google Authenticatora, hasła. Na deser keylogger.

Checkpoint donosi o ciekawym ataku (najprawdopodobniej kierowanym na konkretną firmę). Tym razem trafiona została „korporacja operująca w wielu krajach”, a zainfekowanych zostało aż 75% urządzeń mobilnych pracowników – w skrócie: masakra.

MDM (Mobile Device Management) to dla przypomnienia zcentralizowany system umożliwiający zarządzenie flotą mobilnych urządzeń. Jeśli mamy ich w firmie kilka tysięcy, to rozmaite ustawienia można konfigurować centralnie, a następnie są one aplikowane na końcowych urządzeniach. Wygodne prawda? Zdecydowanie, szczególnie że można również zarządzać centralnie bezpieczeństwem – whitelisting aplikacji, ustawienia łączenia do sieci WiFi, Bluetooth, etc.

Ale co w przypadku gdy ktoś dostanie się do systemu centralnego? Może opublikować pewne ustawienia czy wymusić instalację złych aplikacji. Tak też się stało:

After gaining access to the customer’s MDM, the attacker utilized the MDM’s ability to install applications remotely to install malware on more than 75% of the company’s devices.

Co robił malware zainstalowany na telefonach czy innych urządzeniach mobilnych? Same ciekawe rzeczy: wykradanie SMS-ów, wykradanie kodów z Google Authenticatora, wykradanie loginów i haseł (np. do Gmaila), mobilny keyloger. Jest też moduł umożliwiający wysyłanie SMSów czy realizowanie rozmów telefonicznych – z telefonu ofiary.

Po analizie sytuacji firma postanowiła przywrócić wszystkie urządzenia do ustawień fabrycznych (zastanówcie się jakie są to koszty…). Wniosek – chrońmy też urządzenia / systemy, które zapewniają bezpieczeństwo naszej infrastruktury – szczególnie jeśli z centralnego miejsca potrafią zarządzać jej znaczną częścią.

–ms