Специалисты компаний Microsoft и Citizen Lab выявили активность коммерческого шпионского софта, который был разработан израильской организацией QuaDream. Этот шпион использовался в атаках на пользователей iPhone и задействовал 0-click эксплойт ENDOFDAYS.
Уязвимость нулевого дня, которую взяли в оборот операторы шпионской программы, затрагивает версии iOS с 1.4 по 14.4.2. Как объясняют в Citizen Lab, злоумышленники использовали «невидимые приглашения в календаре iCloud».
Здесь атакующим помог интересный трюк: если отправить приглашения с просроченной датой, они добавляются в календарь пользователя автоматически, при этом не требуют подтверждения и не выводят никаких уведомлений.
Другими словами, эксплойт ENDOFDAYS отрабатывал без какого-либо взаимодействия с целевым пользователем и последний не замечал, что на его девайс устанавливают шпионский софт. В отчёте Citizen Lab исследователи пишут:
«Как минимум пять гражданских из Северной Америки, Центральной Азии, Юго-Восточной Азии и Европы пострадали от шпиона и эксплойта QuaDream. Среди них был журналисты, оппозиционеры и сотрудники НКО. На данный момент не можем перечислить жертв поимённо».
К слову, Microsoft называет упомянутую шпионскую программу KingsPawn. Вредонос может удалять свою копию из системы и чистить следы присутствия на iPhone жертвы. Помимо этого, зловред располагает следующими функциональными возможностями:
- Записывает аудио телефонных разговоров.
- Записывает аудио окружения через встроенный микрофон.
- Делает снимки как с фронтальной, так и с основной камеры смартфона.
- Извлекает и удаляет объекты из связки ключей мобильного устройства.
- Отправляет запросы к БД SQL.
- Удаляет следы, которые могут оставаться после эксплойта.
- Отслеживает геолокацию девайса.
- Может искать файлы определённых типов.
- Перехватывает фреймворк Anisette и системный вызов gettimeofday для генерации кодов, которые могут использоваться для входа в iCloud.
