Новая Zero-Click уязвимость в устаревшей версии iOS может привести к целому ряду вредоносных действий с яблочным устройством.
https://www.securitylab.ru/upload/ib...upm9uf1823.jpg
Исследователи из Citizen Lab совместно со специалистами Microsoft Threat Intelligence обнаружили коммерческое шпионское ПО, созданное израильской компанией QuaDream, которое использовалось для компрометации iPhone с помощью Zero-Click эксплойта ENDOFDAYS. Microsoft окрестила вредонос «KingsPawn».
Злоумышленники нацелились на уязвимость нулевого дня, затрагивающую iPhone под управлением iOS версий 14.4 – 14.4.2, используя метод, описанный специалистами Citizen Lab как «невидимые приглашения календаря iCloud». «Невидимость» подобных приглашений заключается в том, что они датируются задним числом и могут быть добавлены в календарь iCloud абсолютно без уведомления, однако позволяют выполнить эксплойт под названием «ENDOFDAYS», ведущий к установке вредоносного ПО.
Жертвами вредоносной кампании являются журналисты, деятели политической оппозиции и работники прочих неправительственных организаций. «В настоящее время мы не разглашаем имена жертв», — заявили исследователи Citizen Lab.
«Мы обнаружили, что шпионское ПО также содержит функцию самоуничтожения, которая удаляет различные следы, оставленные вредоносом», — добавили специалисты.
Согласно данным Citizen Lab, шпионское ПО обладает широким спектром функций — от записи окружающего звука и звонков до предоставления злоумышленникам возможности просмотра любых файлов на смартфонах жертв.
Полный список возможностей, обнаруженных при анализе шпионского ПО QuaDream, включает следующее:<ul><li>запись телефонных звонков;</li>
</ul><ul><li>запись звука с микрофона;</li>
</ul><ul><li>отслеживание местоположения устройства;</li>
</ul><ul><li>скрытая фотосъемка через переднюю или заднюю камеру устройства;</li>
</ul><ul><li>эксфильтрация и удаление элементов из «Связки ключей iCloud»;</li>
</ul><ul><li>взлом фреймворка Anisette и перехват системного вызова gettimeofday для генерации кодов входа в iCloud на основе одноразовых паролей (OTP) (исследователи подозревают, что этим методом злоумышленники могут генерировать пароли для 2FA на будущие даты, чтобы всегда иметь возможность зайти в iCloud скомпрометированного устройства);</li>
</ul><ul><li>выполнение запросов в базах данных SQL на телефоне;</li>
</ul><ul><li>выполнение различных операций с файловой системой, в том числе поиск файлов, соответствующих заданным характеристикам;</li>
</ul><ul><li>очистка следов использования эксплойта;</li>
</ul>Citizen Lab обнаружила серверы QuaDream во многих странах, включая Болгарию, Чехию, Венгрию, Гану, Израиль, Мексику, Румынию, Сингапур, Объединенные Арабские Эмираты (ОАЭ) и Узбекистан.
По словам исследователей, данное исследование лишь является напоминанием о том, что индустрия шпионского ПО гораздо шире, чем кажется на первый взгляд. И что специалисты кибербезопасности и простые пользователи должны сохранять бдительность в равной степени.
«Пока неконтролируемое распространение коммерческого шпионского ПО не будет успешно остановлено с помощью системных правительственных постановлений, число случаев злоупотреблений будет продолжать расти, чему способствуют как компании с узнаваемыми именами, так и те, что всё ещё работают в тени», — заявили в Citizen Lab.
Год назад Citizen Lab также раскрыла подробности Zero-Click эксплойта iMessage, получившего название «HOMAGE». Эксплойт использовался для установки шпионского ПО NSO Group на iPhone каталонских политиков, журналистов и активистов.
Коммерческое шпионское ПО, предоставляемое поставщиками технологий наблюдения, такими как NSO Group, Cytrox, Hacking Team и FinFisher, неоднократно развертывалось на устройствах Android и iOS, подверженных уязвимостям нулевого дня, чаще всего с использованием именно Zero-Click эксплойтов, при которых жертва даже не понимает, что его смартфон скомпрометировали.