Alguns hackers decidiram pegar nas tácticas do primeiro worm para iPhone detectado em todo o mundo para construir uma botnet que rouba dados confidenciais, nomeadamente credenciais de acesso a contas bancárias online, a partir dos dispositivos desbloqueados da Apple.O novo worm, baptizado de "Duh" pela empresa de segurança britânica Sophos, é parente do worm "ikee" detectado no início do mês, mas as suas semelhanças ficam-se pela abordagem utilizada, não pelo código, como conta Chester Wisniewski, responsável sénior da Sophos.
“Trata-se de códigos diferentes, mas a conceptualidade é a mesma”, refere. Tanto o ikee como o Duh tiram partido da password usada por defeito pelo utilitário SSH (secure shell) Unix, que é instalado por alguns utilizadores depois de desbloquearem os seus iPhones. O desbloqueamento consiste no processo de modificar um iPhone por forma a que o seu proprietário possa descarregar e instalar software que não seja disponibilizado através da App Store oficial da Apple. O SSH permite, assim, aos utilizadores ligarem-se de forma remota aos seus iPhones através da Internet, através de um canal encriptado. O worm Duh altera a password criada por defeito pelo SSH, de “alpine” para a sugestiva “ohshit”, como descreve Wisniewski.
Há duas semanas atrás, o investigador especializado em vulnerabilidades do iPhone e dos sistemas Mac, Charlie Miller, alertou os utilizadores para o facto de, ao desbloquearem os seus iPhones, estarem a aumentar o risco de ataque.
O worm Duh utiliza a estratégia de comando e controlo empregada pelas tradicionais botnets de computadores pessoais para roubarem dados de dispositivos comprometidos, e depois enviá-los para um servidor central operado pelos criminosos. O servidor estará, ao que tudo indica, localizado na Lituânia, mas o worm propriamente dito terá sido criado por criminosos holandeses.
Uma das missões do Duh é a de desviar códigos de activação baseados em SMS que alguns bancos utilizam para proteger os seus clientes que realizem transacções financeiras a partir dos seus iPhones. “Historicamente, os hackers não têm sido capazes de ultrapassar a tecnologia mTAN”, afirma o responsável da Sophos, referindo-se aos números de autenticação que alguns bancos enviam aos seus clientes como segundo nível de verificação e autorização de acesso. Quando um utilizador entra num banco online que suporte a tecnologia mTAN, recebe no seu telemóvel um código de seis dígitos que deve ser introduzido nos 90 segundos imediatamente a seguir à recepção da mensagem, para provar a propriedade da conta.
No mês passado, foi detectada uma variante do Trojan Zbot que tinha por missão procurar por TANs em PCs sequestrados, utilizando mensagens instantâneas “silenciosas” para transmitir os códigos aos hackers, que tinham então um curto espaço de tempo para levar o legítimo proprietário da conta a aceder aos fundos. “O Duh está a utilizar uma abordagem semelhante, ou seja, procura mensagens SMS contendo mTANs, capturando-os em tempo real e enviando-os para o servidor de comando e controlo. Isto dá tempo aos criminosos para entrarem na conta, utilizando esses mTANs”, explica Chester Wisniewski.
Apesar de tudo isto, e embora a botnet resultante da acção do worm Duh seja uma das primeiras a ter como alvo específico o iPhones, o responsável da Sophos minimiza os riscos. “É fácil para o utilizador perceber que está a ser atacado”, sustenta este responsável, referindo ainda que a contante actividade de rede do Duh esgota rapidamente a bateria do iPhone. “Todos os que respeitem as regras da Apple estão a salvo desta ameaça”, acrescenta.
Uma vez que apenas os iPhones desbloqueados podem ser comprometidos pelo Duh, o homem da Sophos recomenda que os utilizadores actualizem os seus dispositivos com o mais recente firmware da Apple, através de uma ligação ao seu PC ou Mac e posterior acesso ao iTunes. Mas mesmo tendo em conta que o Duh apenas ataca uma parte dos iPhones, o worm e a sua botnet vêm ilustrar um facto muitas vezes ignorado, diz Chester Wisniewski. “As pessoas não se apercebem que um iPhone é essencialmente um computador baseado em Unix que podem guardar no seu bolso”, sublinha. E conclui: “pode não ser muito prático depender de um dispositivo com uma bateria limitada para operar uma botnet, mas worms como este vêm acima de tudo dar um sinal da evolução constante do malware especificamente criado para atacar plataformas móveis”.