A empresa russa de segurança cibernética Kaspersky diz que alguns iPhones em sua rede foram hackeados usando uma vulnerabilidade do iOS que instalou malware por meio de explorações de clique zero do iMessage. A exploração de clique zero não precisa que a vítima abra um arquivo ou tente acessar algum link, mas que ela apenas esteja usando um sistema operacional ou aplicativo vulnerável.
A entrega da mensagem explora uma vulnerabilidade que leva à execução do código sem exigir nenhuma interação do usuário, levando ao download de malware adicional do servidor do invasor.
Posteriormente, a mensagem e o anexo são apagados do dispositivo. Ao mesmo tempo, a carga útil fica para trás, executando com privilégios de root para coletar informações do sistema e do usuário e executar comandos enviados pelos invasores.
A Kaspersky diz que a campanha começou em 2019 e relata que os ataques ainda estão em andamento. A empresa de segurança cibernética batizou a campanha de “Operação Triangulação” e está convidando qualquer pessoa que saiba mais sobre ela para compartilhar informações.
Como é impossível analisar o iOS a partir do dispositivo, a Kaspersky usou o Mobile Verification Toolkit para criar backups do sistema de arquivos dos iPhones infectados para recuperar informações sobre o processo de ataque e a função do malware.
Embora o malware tente excluir rastros do ataque dos dispositivos, ele ainda deixa sinais de infecção, como modificações no arquivo do sistema que impedem a instalação de atualizações do iOS, uso anormal de dados e injeção de bibliotecas obsoletas.
A análise revelou que os primeiros sinais de infecção aconteceram em 2019, e a versão mais recente do iOS infectada pelo conjunto de ferramentas malicioso é a 15.7. Vale observar que a versão mais recente do iOS é a 16.5, que pode já ter corrigido a vulnerabilidade usada nesses ataques de malware.
A exploração enviada via iMessage aciona uma vulnerabilidade desconhecida no iOS para executar a execução do código, buscando estágios subsequentes do servidor do invasor, incluindo explorações de escalonamento de privilégios.
A empresa de segurança forneceu uma lista de 15 domínios associados a essa atividade maliciosa, que os administradores de segurança podem usar para verificar os registros DNS históricos em busca de possíveis sinais de exploração em seus dispositivos.
Após a obtenção de privilégio de root — de administrador do sistema —, o malware baixa um conjunto de ferramentas completo que executa comandos para coletar informações do sistema e do usuário e baixar módulos adicionais do servidor de comando e controle (C&C).
A Kaspersky observa que o conjunto de ferramentas APT — de ameaça persistente avançada — instalado no dispositivo não possui mecanismos de persistência, portanto, uma reinicialização o interromperia efetivamente. No momento, apenas alguns detalhes sobre as funções do malware foram divulgados, pois a análise da carga final ainda está em andamento.
Em uma declaração coincidente com o relatório da Kaspersky, a agência de inteligência e segurança FSB da Rússia afirma que a Apple forneceu deliberadamente à Agência de Segurança Nacional (NSA) dos EUA uma backdoor que pode ser usada para infectar iPhones no país com spyware. O FSB alega ter descoberto infecções por malware em milhares de iPhones da Apple pertencentes a funcionários do governo russo e funcionários das embaixadas de Israel, China e vários países membros da Otan na Rússia.
Apesar da gravidade das alegações, o FSB não forneceu nenhuma prova de suas alegações. O governo russo recomendou anteriormente que todos os funcionários e membros da administração presidencial parassem de usar os iPhones da Apple e, se possível, desistissem totalmente da tecnologia americana.
A Kaspersky confirmou ao BleepingComputer que o ataque afetou sua sede em Moscou e funcionários em outros países. Ainda assim, a empresa afirmou que não tem condições de verificar uma ligação entre sua descoberta e o relatório da FSB, pois não tem os detalhes técnicos da investigação do governo. No entanto, o CERT da Rússia divulgou um alerta ligando a declaração do FSB ao relatório da Kaspersky.
Veja isso
Apple lança patches de segurança rápida para iPhone, iPad e Mac
Apple Pay com Visa permite que hacker use iPhone em fraude
A descoberta surgiu enquanto os especialistas da empresa de cibersegurança monitoravam o tráfego de rede Wi-Fi corporativa, com a Plataforma Kaspersky de Monitoramento e Análise Unificada (KUMA). Após uma análise aprofundada, os pesquisadores descobriram que o grupo por traz desse APT tinha como alvo dispositivos iOS (iPhones e iPads) de dezenas de funcionários da empresa.
A investigação da técnica de ataque ainda está em andamento, mas a Kaspersky conseguiu identificar como a infecção ocorre até agora: a vítima recebe uma mensagem via iMessage com um anexo contendo um malware (exploit) que irá usar uma vulnerabilidade até então desconhecida (zero clique) no sistema operacional para realizar sua instalação. A infecção do sistema-alvo é imediata já que não depende de um clique da vítima em um link. Em seguida, o malware executará um código para ganhar privilégios de administrador no sistema para oferecer controle total sobre o dispositivo infectado.
Assim que a invasão é concluída com sucesso, tanto a mensagem quanto o exploit são excluídos automaticamente para “cobrir os rastros”. Nos casos noticiados, o spyware transmitia silenciosamente informações privadas para servidores remotos: incluindo gravações de microfone, fotos de aplicativos de mensagens, geolocalização e dados sobre uma série de outras atividades do proprietário do dispositivo infectado.