Системный календарь iPhone «приглашает» пользователей установить израильское шпионское ПО

Исследователи из Citizen Lab совместно со специалистами Microsoft Threat Intelligence обнаружили коммерческое шпионское ПО, созданное израильской компанией QuaDream, которое использовалось для компрометации iPhone с помощью Zero-Click эксплойта ENDOFDAYS. Microsoft окрестила вредонос «KingsPawn».

Злоумышленники нацелились на уязвимость нулевого дня, затрагивающую iPhone под управлением iOS версий 14.4 – 14.4.2, используя метод, описанный специалистами Citizen Lab как «невидимые приглашения календаря iCloud». «Невидимость» подобных приглашений заключается в том, что они датируются задним числом и могут быть добавлены в календарь iCloud абсолютно без уведомления, однако позволяют выполнить эксплойт под названием «ENDOFDAYS», ведущий к установке вредоносного ПО.

Жертвами вредоносной кампании являются журналисты, деятели политической оппозиции и работники прочих неправительственных организаций. «В настоящее время мы не разглашаем имена жертв», — заявили исследователи Citizen Lab.

«Мы обнаружили, что шпионское ПО также содержит функцию самоуничтожения, которая удаляет различные следы, оставленные вредоносом», — добавили специалисты.

Согласно данным Citizen Lab, шпионское ПО обладает широким спектром функций — от записи окружающего звука и звонков до предоставления злоумышленникам возможности просмотра любых файлов на смартфонах жертв.

Полный список возможностей, обнаруженных при анализе шпионского ПО QuaDream, включает следующее:

• запись телефонных звонков;
• запись звука с микрофона;
• отслеживание местоположения устройства;
• скрытая фотосъемка через переднюю или заднюю камеру устройства;
• эксфильтрация и удаление элементов из «Связки ключей iCloud»;
• взлом фреймворка Anisette и перехват системного вызова gettimeofday для генерации кодов входа в iCloud на основе одноразовых паролей (OTP) (исследователи подозревают, что этим методом злоумышленники могут генерировать пароли для 2FA на будущие даты, чтобы всегда иметь возможность зайти в iCloud скомпрометированного устройства);
• выполнение запросов в базах данных SQL на телефоне;
• выполнение различных операций с файловой системой, в том числе поиск файлов, соответствующих заданным характеристикам;
• очистка следов использования эксплойта;

Citizen Lab обнаружила серверы QuaDream во многих странах, включая Болгарию, Чехию, Венгрию, Гану, Израиль, Мексику, Румынию, Сингапур, Объединенные Арабские Эмираты (ОАЭ) и Узбекистан.

По словам исследователей, данное исследование лишь является напоминанием о том, что индустрия шпионского ПО гораздо шире, чем кажется на первый взгляд. И что специалисты кибербезопасности и простые пользователи должны сохранять бдительность в равной степени.

«Пока неконтролируемое распространение коммерческого шпионского ПО не будет успешно остановлено с помощью системных правительственных постановлений, число случаев злоупотреблений будет продолжать расти, чему способствуют как компании с узнаваемыми именами, так и те, что всё ещё работают в тени», — заявили в Citizen Lab.

Год назад Citizen Lab также раскрыла подробности Zero-Click эксплойта iMessage, получившего название «HOMAGE». Эксплойт использовался для установки шпионского ПО NSO Group на iPhone каталонских политиков, журналистов и активистов.

Коммерческое шпионское ПО, предоставляемое поставщиками технологий наблюдения, такими как NSO Group, Cytrox, Hacking Team и FinFisher, неоднократно развертывалось на устройствах Android и iOS, подверженных уязвимостям нулевого дня, чаще всего с использованием именно Zero-Click эксплойтов, при которых жертва даже не понимает, что его смартфон скомпрометировали.