A Microsoft e o Citizen Lab descobriram um spyware comercial feito por uma empresa israelense chamada QuaDream, usado para comprometer os iPhones de indivíduos de alto risco usando um exploit zero-click chamado ENDOFDAYS.
Os atacantes visaram uma vulnerabilidade zero-day afetando iPhones com iOS 1.4 até 14.4.2 entre janeiro de 2021 e novembro de 2021, usando o que o Citizen Lab descreveu como convites de calendário do iCloud "invisíveis" e "atrasados".
Quando convites de calendário do iCloud com carimbos de data antigos são recebidos em dispositivos iOS, eles são automaticamente adicionados ao calendário do usuário sem qualquer notificação ou prompt, permitindo que o exploit ENDOFDAYS seja executado sem interação do usuário e que os ataques sejam indetectáveis pelos alvos.
Os dispositivos comprometidos pertenciam a "pelo menos cinco vítimas da sociedade civil do spyware e exploits da QuaDream na América do Norte, Ásia Central, Sudeste Asiático, Europa e Oriente Médio", disseram pesquisadores do Citizen Lab.
"As vítimas incluem jornalistas, figuras da oposição política e um trabalhador de uma ONG. Não estamos divulgando o nome das vítimas no momento."
O malware de vigilância implantado nesta campanha (apelidado de KingsPawn pela Microsoft) também foi projetado para se autodeletar e limpar qualquer rastro dos iPhones das vítimas para evitar detecção.
"Descobrimos que o spyware também contém um recurso de autodestruição que limpa vários rastros deixados pelo próprio spyware", disse o Citizen Lab.
"Nossa análise do recurso de autodestruição revelou um nome de processo usado pelo spyware, que descobrimos nos dispositivos das vítimas."
O spyware vem com uma ampla gama de "recursos" com base na análise do Citizen Lab, desde gravação de áudio ambiental e chamadas até permitir que os atores ameaçadores pesquisem os telefones das vítimas.
O Citizen Lab encontrou servidores da QuaDream em vários países, incluindo Bulgária, República Tcheca, Hungria, Gana, Israel, México, Romênia, Cingapura, Emirados Árabes Unidos (EAU) e Uzbequistão.
"No final das contas, este relatório é um lembrete de que a indústria de spyware mercenário é maior do que qualquer empresa e que a vigilância contínua é necessária tanto pelos pesquisadores quanto pelos potenciais alvos", disse o Citizen Lab.
"Até que a proliferação descontrolada de spyware comercial seja efetivamente contida por meio de regulamentações governamentais sistemáticas, o número de casos de abuso provavelmente continuará a crescer, alimentado tanto por empresas com nomes conhecidos quanto por outras que ainda operam nas sombras."
Há um ano, o Citizen Lab também revelou detalhes sobre um exploit iMessage zero-click (apelidado de HOMAGE) que foi usado para instalar o spyware do NSO Group nos iPhones de políticos, jornalistas e ativistas catalães.
O spyware comercial fornecido por provedores de tecnologia de vigilância como o NSO Group, Cytrox, Hacking Team e FinFisher tem sido repetidamente implantado em dispositivos Android e iOS vulneráveis a falhas zero-day (na maioria dos casos por meio de exploits zero-click indetectáveis pelos alvos).
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...