Em uma descoberta alarmante, a empresa de cibersegurança Kaspersky revelou a existência de um malware que se instala automaticamente em iPhones. Isso mesmo, o desgraçado atua sem a necessidade de qualquer ação do usuário.
O malware, que foi descoberto durante o monitoramento da rede Wi-Fi corporativa da própria Kaspersky, foi apelidado de “Operation Triangulation” (Operação Triangulação).
Leia também
Phishing usando tema de criptomoeda aumenta 40% em um ano, alerta Kaspersky
Malwares bancários para celular dobraram em 2022, aponta Kaspersky
Como o “Operation Triangulation” atua
A Kaspersky identificou atividades suspeitas originadas de vários iPhones enquanto monitorava sua própria rede Wi-Fi corporativa. A empresa então criou backups offline dos dispositivos em questão e os inspecionou usando a ferramenta Mobile Verification Toolkit (MVT), descobrindo assim vestígios do ataque.
O malware é entregue por meio de um exploit de zero clique via um anexo do iMessage, aplicativo de mensagens da Apple. O exploit desencadeia uma vulnerabilidade que leva à execução do código.
O código dentro do exploit, por sua vez, baixa então vários arquivos do servidor de comando e controle (C&C), que incluem exploits adicionais para escalonamento de privilégios. Após a exploração bem-sucedida, um payload final é baixado do servidor C&C, que é uma plataforma APT totalmente funcional.
Além de autoinstalável, o vírus também apaga suas “pegadas”
A Kaspersky observou que o malware foi projetado para limpar os dispositivos infectados e remover vestígios de si mesmo. No entanto, os pesquisadores afirmam que é possível identificar de forma confiável se o dispositivo foi comprometido. Eles também notaram que os dispositivos podem ser reinfectados após a reinicialização.
A análise do payload final ainda não foi concluída. O código é executado com privilégios de superusuário (root), implementa um conjunto de comandos para coletar informações do sistema e do usuário, e pode executar código arbitrário baixado como módulos de plugin do servidor C&C.
A Kaspersky também observou que os iPhones comprometidos não conseguem instalar atualizações do iOS. A empresa descobriu um código malicioso que modifica um dos arquivos de configurações do sistema chamado “com.apple.softwareupdateservicesd.plist”. As tentativas de atualização terminam com uma mensagem de erro: “Falha na atualização de software. Ocorreu um erro ao baixar o iOS”.
Primeiros ataques remontam a 2019
A empresa de cibersegurança russa não atribuiu a operação a nenhum governo ou grupo de hackers, afirmando que “a Kaspersky não faz atribuição política“. No entanto, a empresa observou que o ataque está em andamento e a versão mais recente dos dispositivos que foram alvo com sucesso é o iOS 15.7. Ou seja, os ataques com este tipo de malware “autoinstalável” remontam a 2019.
A descoberta deste malware autônomo é preocupante, pois mesmo os dispositivos considerados mais seguros não estão imunes a ataques cibernéticos. Enquanto a Kaspersky continua sua análise, os usuários de iPhone são aconselhados a manter seus dispositivos atualizados e a desabilitar o iMessage para evitar esse tipo de ataque.
Fontes: Kaspersky e TechCrunch
Deixe seu comentário