Novo software Espião Opera Secretamente Atacando Usuários de iPhone
A empresa de segurança Kaspersky divulgou informações detalhadas sobre um programa espião que infecta o sistema iOS
A Kaspersky recentemente revelou uma nova campanha de Ameaça Persistente Avançada (APT) que visa infectar dispositivos móveis com iOS por meio de mensagens enviadas pelo iMessage. Após seis meses de investigação, os pesquisadores da empresa publicaram uma análise aprofundada das vulnerabilidades exploradas no ataque e detalharam o funcionamento do programa espião.
Entretanto, após o anúncio da campanha de espionagem chamada Operação Triangulação, que tem como alvo dispositivos iOS, os especialistas da Kaspersky divulgaram informações detalhadas sobre o spyware implantado nos ataques. Denominado TriangleDB, esse malware concede aos invasores recursos de vigilância secretos. O programa malicioso é executado exclusivamente na memória do dispositivo, garantindo que todas as evidências da infecção sejam apagadas ao reiniciar o dispositivo.
Conhecido como TriangleDB, o software é instalado explorando uma vulnerabilidade no kernel do iOS para obter privilégios de administrador (root) no dispositivo-alvo.
Método de ataque ao iPhone
Após a instalação, o TriangleDB opera exclusivamente na memória do dispositivo, fazendo com que os vestígios da infecção desapareçam após reinicialização. Portanto, se a vítima reiniciar o dispositivo, o invasor precisará reinfectá-lo enviando uma nova mensagem via iMessage, contendo o anexo malicioso para iniciar todo o processo de exploração.
Caso a reinicialização não ocorra, o implante será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Funcionando como um spyware complexo, o TriangleDB possui uma ampla gama de recursos para coleta e monitoramento de dados.
No total, o implante conta com 24 comandos que oferecem várias funcionalidades, incluindo interação com o sistema de arquivos do dispositivo (capaz de criar, modificar, roubar e remover arquivos), gerenciamento de processos (listagem e encerramento), extração de senhas para coleta de credenciais e além disso o monitoramento da geolocalização da vítima.
Durante a análise do TriangleDB, os especialistas da Kaspersky também descobriram uma função inativa chamada “populateWithFieldsMacOSOnly” dentro do CRConfig.
Georgy Kucherin, especialista em segurança da equipe Global Research and Analysis da Kaspersky, compartilhou suas descobertas sobre um implante avançado para iOS, sobretudo que apresenta uma variedade de recursos intrigantes. “À medida que continuamos a investigar essa campanha, manteremos todos informados com mais informações sobre esse ataque sofisticado. Encorajamos a comunidade de segurança cibernética a se unir, compartilhar conhecimentos e colaborar para obter uma compreensão mais clara das ameaças existentes…”