Spyware mercenário invadiu vítimas do iPhone com convites de calendário não autorizados, dizem pesquisadores

Hackers usando spyware feito por uma empresa pouco conhecida de mercenários cibernéticos usaram convites de calendário maliciosos para hackear os iPhones de jornalistas, figuras da oposição política e um trabalhador de ONG, de acordo com dois relatórios.

Pesquisadores da Microsoft e do grupo de direitos digitais Citizen Lab analisaram amostras de malware que dizem ter sido criado pela QuaDream, um fabricante de spyware israelense que desenvolveu exploits de clique zero - ou seja, ferramentas de hacking que não exigem que o alvo clique em arquivos maliciosos links — para iPhones.

A QuaDream conseguiu voar principalmente sob o radar até recentemente. Em 2021, o jornal israelense Haaretz relatou que a QuaDream vendeu seus produtos para a Arábia Saudita. No ano seguinte, a Reuters informou que a QuaDream vendeu um exploit para hackear iPhones semelhante ao fornecido pelo NSO Group, e que a empresa não opera o spyware, seus clientes do governo o fazem - uma prática comum na indústria de tecnologia de vigilância.

Os clientes da QuaDream operavam servidores de vários países ao redor do mundo: Bulgária, República Tcheca, Hungria, Romênia, Gana, Israel, México, Cingapura, Emirados Árabes Unidos (EAU) e Uzbequistão, de acordo com varreduras da Internet feitas pelo Citizen Lab.

Tanto o Citizen Lab quanto a Microsoft publicaram novos relatórios técnicos inovadores sobre o suposto spyware da QuaDream na terça-feira.

A Microsoft disse que encontrou as amostras originais do malware e depois as compartilhou com os pesquisadores do Citizen Lab, que conseguiram identificar mais de cinco vítimas – um funcionário de uma ONG, políticos e jornalistas – cujos iPhones foram hackeados. A exploração usada para hackear esses alvos foi desenvolvida para o iOS 14 e, na época, não tinha patches e era desconhecida da Apple, tornando-se o chamado dia zero. Os hackers do governo que estavam equipados com o exploit da QuaDream usaram convites de calendário maliciosos com datas no passado para entregar o malware, de acordo com o Citizen Lab.

Esses convites não acionaram uma notificação no telefone, o que os tornou invisíveis para o alvo, disse Bill Marczak, pesquisador sênior do Citizen Lab que trabalhou no relatório, ao TechCrunch.

O porta-voz da Apple, Scott Radcliffe, disse que não há evidências de que o exploit descoberto pela Microsoft e pelo Citizen Lab tenha sido usado após março de 2021, quando a empresa lançou uma atualização.

O Citizen Lab não está nomeando as vítimas porque elas não querem ser identificadas. Marczak disse que estão todos em países diferentes, o que dificulta a saída das vítimas.

"Ninguém necessariamente quer ser o primeiro em sua comunidade a dizer 'sim, fui o alvo'", disse ele, acrescentando que geralmente é mais fácil se as vítimas estiverem todas no mesmo país e fizerem parte da mesma comunidade. ou grupo.

Antes de a Microsoft entrar em contato com o Citizen Lab, Marczak disse que ele e seus colegas identificaram várias pessoas visadas por um exploit semelhante ao usado pelos clientes do NSO Group em 2021, conhecido como FORCEDENTRY. Na época, Marczak e seus colegas concluíram que essas pessoas foram alvo de uma ferramenta feita por outra empresa, não pelo NSO Group.

Créditos da imagem:O Laboratório Cidadão

As amostras analisadas incluem a carga útil inicial, projetada para baixar o malware real — a segunda amostra — se estiver no dispositivo do alvo pretendido. O payload final registra chamadas telefônicas, grava áudio usando o microfone do telefone sub-repticiamente, tira fotos, rouba arquivos, rastreia a localização granular da pessoa e apaga vestígios forenses de sua própria existência, entre outras funcionalidades, de acordo com o Citizen Lab e a Microsoft.

Ainda assim, os pesquisadores do Citizen Lab disseram que o malware deixa certos rastros que lhes permitem rastrear o spyware da QuaDream. Os pesquisadores disseram que não querem revelar quais são esses vestígios para manter sua capacidade de rastrear o malware. Eles chamaram os vestígios de malware de "Fator Ectoplasma", um nome que Marczak disse ter sido inspirado por uma missão no popular jogo Stardew Valley, que ele disse jogar.