Uma respeitada empresa de segurança cibernética russa, a Kaspersky, revelou recentemente a descoberta de uma campanha de spyware “extremamente complexa” que afeta todos os iPhones executando o iOS 15.7 ou versões anteriores. Embora o ataque pareça ter como alvo principalmente dispositivos iOS pertencentes à alta administração e funcionários-chave da Kaspersky, todos os usuários de iPhones devem estar atentos.
A descoberta dessa campanha de spyware ocorre em meio a alegações públicas lançadas pela inteligência russa contra a agência de segurança dos Estados Unidos. O Serviço Federal de Segurança (FSB) do Kremlin afirma que a Apple tem trabalhado em estreita colaboração com a Agência de Segurança Nacional (NSA), fornecendo à última organização uma porta dos fundos para que ela possa plantar spyware em milhares de iPhones pertencentes a diplomatas da Rússia, membros da OTAN, Israel, China e algumas ex-nações soviéticas.
A Kaspersky está ciente das alegações do FSB, mas ainda não conseguiu verificar se há uma conexão entre os dois ataques. A empresa explica que, embora o spyware descrito pelo FSB pareça ser semelhante ao encontrado em telefones pertencentes à alta administração e gerência intermediária da Kaspersky, a agência russa ainda não forneceu uma análise técnica do malware em questão.
A Apple, por sua vez, recusou-se a comentar as acusações, mas fez questão de observar que “nunca trabalhamos com nenhum governo para inserir uma porta dos fundos em qualquer produto da Apple e nunca faremos isso”.
Voltando ao spyware descoberto pela Kaspersky, parece ser mais um exemplo de um ataque “zero-click”. Os pesquisadores o apelidaram de “Triangulação” para destacar que faz parte de uma campanha de intrusão furtiva que usa impressões digitais de tela (Canvas fingerprinting) para deixar um triângulo amarelo na memória dos dispositivos-alvo. Após analisar o tráfego de sua própria rede corporativa, a empresa descobriu que a campanha ainda está em andamento e pode estar ativa desde 2019.
A cadeia de ataque começa com os agressores enviando às vítimas uma mensagem especialmente elaborada por meio do serviço iMessage da Apple. Uma vez recebida, um anexo malicioso na mensagem inicia automaticamente a exploração sem que a pessoa em questão abra a mensagem ou o anexo. Antes que a vítima tenha a chance de excluir a mensagem, o código malicioso executado por meio da exploração já terá baixado o spyware, que dá aos hackers acesso mais profundo ao dispositivo-alvo.
Os pesquisadores da Kaspersky conseguiram analisar os dispositivos infectados, recuperando dados de backups feitos usando a ferramenta Mobile Verification Toolkit. Eles também observaram que o malware descoberto não persistirá no dispositivo após uma reinicialização, embora tenham visto evidências de reinfeção em alguns dos telefones afetados.
No momento da redação deste artigo, ainda não está claro quais vulnerabilidades são exploradas na cadeia de ataque. No entanto, a Kaspersky acredita que uma das falhas é uma vulnerabilidade de extensão do kernel rastreada sob o CVE-2022-46690, que a Apple corrigiu em dezembro de 2022 com o lançamento do iOS/iPadOS 16.2. Na época, a empresa de Cupertino também começou a distribuir o iOS 15.7.2 para dispositivos mais antigos, com correções para várias vulnerabilidades de alto risco “ativamente exploradas”.
Vale ressaltar que pessoas que acreditam estar em risco de ataques cibernéticos altamente direcionados podem usar uma medida de proteção extrema chamada “Modo de Bloqueio” (Lockdown Mode). Essa é uma opção introduzida pela Apple no iOS 16 e macOS Ventura, que limita muito a superfície de ataque para hackers, com a compensação de que aplicativos, sites e recursos do sistema operacional não funcionarão conforme o esperado.
Com essa nova ameaça à segurança dos iPhones, é essencial que os usuários estejam atentos e tomem medidas adicionais para proteger seus dispositivos contra spyware e ataques cibernéticos. Manter o sistema operacional atualizado e estar ciente de possíveis vulnerabilidades é fundamental para garantir a segurança digital.
Leia também: Spyware Pegasus visa o iOS 15 e 16 com novas explorações