Kaspersky ha scoperto un nuovo spyware che gli aggressori possono installare furtivamente su iPhone che non eseguono l’ultima versione di iOS.
Il malware è stato scoperto quando la società sospettava che qualcosa non andasse nell’attività originata da diversi iPhone di proprietà dei suoi dipendenti. L’iPhone non può essere ispezionato dall’interno, quindi Kaspersky ha creato backup offline dei dispositivi che riteneva infetti e ha trovato prove di compromissione.
Questa sembra essere una campagna mirata contro i proprietari di iPhone. L’azienda di sicurezza informatica l’ha chiamata”Operazione Triangolazione”.
Come funziona?
I criminali informatici inviano un iMessage invisibile agli utenti di iPhone con un allegato dannoso. Non ha bisogno che l’utente iPhone faccia nulla ed è sufficiente da solo per sfruttare le vulnerabilità di iOS per eseguire un codice e installare spyware. Il telefono riceve quindi ulteriori istruzioni dal centro di comando e controllo, comprese quelle che concedono al malware maggiori privilegi, consentendogli di provocare ulteriori danni.
Il codice ha accesso illimitato all’iPhone ed esegue una serie di comandi per raccogliere dati privati informazioni sull’utente come registrazioni del microfono, immagini da messaggistica istantanea e geolocalizzazione.
Il messaggio originale viene eliminato, così come l’exploit nell’allegato, quindi la maggior parte delle vittime probabilmente non saprà mai che il proprio telefono è stato infettato.
Nessun modo semplice per rimuovere lo spyware
Una cosa che può indicare la presenza dello spyware è l’impossibilità di aggiornare iOS. Poiché gli aggiornamenti iOS sono bloccati, al momento è impossibile rimuovere lo spyware senza perdere i dati dell’utente. L’unico modo per sbarazzarsene è ripristinare l’iPhone interessato alle impostazioni di fabbrica e scaricare l’ultima versione di iOS, cosa che potrebbe non essere possibile poiché alcuni iPhone meno recenti sono stati tagliati fuori dagli aggiornamenti del sistema operativo. Se viene eliminato solo lo spyware, i dispositivi verranno nuovamente infettati.
La campagna è attiva dal 2019 ed è ancora in corso. Sembra che solo gli iPhone con iOS 15.7 o versioni precedenti di iOS siano vulnerabili.
Secondo Apple, l’80,1% degli utenti di iPhone utilizza già iOS 16, quindi la maggior parte dei possessori di iPhone non ha nulla di cui preoccuparsi. Ma dato che ci sono circa 1,36 miliardi di iPhone attivi nel mondo, 258 milioni di utenti iPhone possono ancora essere presi di mira. Kaspersky ritiene che gli iPhone siano un bersaglio facile per attacchi come questo perché iOS è come una scatola nera dove lo spyware può facilmente nascondersi per anni. Apple ha il monopolio degli strumenti di ricerca, quindi rilevare queste minacce non è facile.
In altre parole, come ho detto spesso, agli utenti viene data l’illusione della sicurezza associata alla completa opacità del sistema. Ciò che effettivamente accade in iOS è sconosciuto agli esperti di sicurezza informatica e l’assenza di notizie sugli attacchi non indica in alcun modo che siano impossibili, come abbiamo appena visto.”- Eugene Kaspersky, CEO Kaspersky
