Бесплатно Экспресс-аудит сайта:

13.04.2023

Системный календарь iPhone «приглашает» пользователей установить израильское шпионское ПО

Исследователи из Citizen Lab совместно со специалистами Microsoft Threat Intelligence обнаружили коммерческое шпионское ПО, созданное израильской компанией QuaDream , которое использовалось для компрометации iPhone с помощью Zero-Click эксплойта ENDOFDAYS. Microsoft окрестила вредонос «KingsPawn».

Злоумышленники нацелились на уязвимость нулевого дня, затрагивающую iPhone под управлением iOS версий 14.4 – 14.4.2, используя метод, описанный специалистами Citizen Lab как «невидимые приглашения календаря iCloud». «Невидимость» подобных приглашений заключается в том, что они датируются задним числом и могут быть добавлены в календарь iCloud абсолютно без уведомления, однако позволяют выполнить эксплойт под названием «ENDOFDAYS», ведущий к установке вредоносного ПО.

Жертвами вредоносной кампании являются журналисты, деятели политической оппозиции и работники прочих неправительственных организаций. «В настоящее время мы не разглашаем имена жертв», — заявили исследователи Citizen Lab.

«Мы обнаружили, что шпионское ПО также содержит функцию самоуничтожения, которая удаляет различные следы, оставленные вредоносом», — добавили специалисты.

Согласно данным Citizen Lab, шпионское ПО обладает широким спектром функций — от записи окружающего звука и звонков до предоставления злоумышленникам возможности просмотра любых файлов на смартфонах жертв.

Полный список возможностей, обнаруженных при анализе шпионского ПО QuaDream, включает следующее:

  • запись телефонных звонков;
  • запись звука с микрофона;
  • отслеживание местоположения устройства;
  • скрытая фотосъемка через переднюю или заднюю камеру устройства;
  • эксфильтрация и удаление элементов из «Связки ключей iCloud»;
  • взлом фреймворка Anisette и перехват системного вызова gettimeofday для генерации кодов входа в iCloud на основе одноразовых паролей (OTP) (исследователи подозревают, что этим методом злоумышленники могут генерировать пароли для 2FA на будущие даты, чтобы всегда иметь возможность зайти в iCloud скомпрометированного устройства);
  • выполнение запросов в базах данных SQL на телефоне;
  • выполнение различных операций с файловой системой, в том числе поиск файлов, соответствующих заданным характеристикам;
  • очистка следов использования эксплойта;

Citizen Lab обнаружила серверы QuaDream во многих странах, включая Болгарию, Чехию, Венгрию, Гану, Израиль, Мексику, Румынию, Сингапур, Объединенные Арабские Эмираты (ОАЭ) и Узбекистан.

По словам исследователей, данное исследование лишь является напоминанием о том, что индустрия шпионского ПО гораздо шире, чем кажется на первый взгляд. И что специалисты кибербезопасности и простые пользователи должны сохранять бдительность в равной степени.

«Пока неконтролируемое распространение коммерческого шпионского ПО не будет успешно остановлено с помощью системных правительственных постановлений, число случаев злоупотреблений будет продолжать расти, чему способствуют как компании с узнаваемыми именами, так и те, что всё ещё работают в тени», — заявили в Citizen Lab.

Год назад Citizen Lab также раскрыла подробности Zero-Click эксплойта iMessage, получившего название «HOMAGE». Эксплойт использовался для установки шпионского ПО NSO Group на iPhone каталонских политиков, журналистов и активистов.

Коммерческое шпионское ПО, предоставляемое поставщиками технологий наблюдения, такими как NSO Group, Cytrox, Hacking Team и FinFisher, неоднократно развертывалось на устройствах Android и iOS, подверженных уязвимостям нулевого дня, чаще всего с использованием именно Zero-Click эксплойтов, при которых жертва даже не понимает, что его смартфон скомпрометировали.