A Kaspersky detalhou os primeiros resultados da investigação em curso a um spyware identificado pelas suas equipas em sistemas iOS, mais propriamente, em vários smartphones de funcionários ligados à rede da empresa de segurança russa.

A companhia classifica o ataque como “extremamente complexo e direcionado profissionalmente”. Acredita que não é o alvo principal da campanha, mas ainda não consegue avaliar a verdadeira extensão do problema, embora as primeiras conclusões já sejam inquietantes.

O ataque desenrola-se através do serviço iMessage, que recebe uma mensagem invisível com um anexo malicioso. O utilizador não precisa de ter qualquer intervenção no processo para que o anexo se abra e o spyware associado se instale.

Na sombra, esta mensagem invisível tira partido de uma vulnerabilidade que permite a execução de código. O processo segue com a instalação de mais software, para explorar outras vulnerabilidades e permitir, por exemplo, ir escalando níveis de privilégios numa rede empresarial. O processo culmina com a destruição da mensagem e do exploit inicial, que são apagados do sistema, deixando ativa uma plataforma completamente funcional de APT (Advanced Persistent Threats).

Silenciosamente, o spyware instalado pode ir recolhendo informações privadas para servidores remotos. Entre elas gravações de microfone, fotos de aplicações de mensagens instantâneas, geolocalização e outros dados das atividades do proprietário do dispositivo infectado.

Esta atividade decorre de forma discreta e como tal difícil de detetar. Um dos poucos sinais visíveis de que algo não está bem, é o facto do malware bloquear atualizações ao sistema operativo. Mas, para confirmar as suspeitas, só fazendo uma cópia de segurança e submetendo-a a verificação com uma ferramenta que possa fazê-lo, diz a Kaspersky, que já está a desenvolver uma e que promete disponibilização gratuita, assim que concluir os testes em curso.

Internamente, a Kaspersky detetou o problema através de uma plataforma própria de Monitorização e Análise, a KUMA. Como explica a empresa, esta é uma “solução nativa de SIEM [gestão e correlação de eventos de segurança], que detectou uma anomalia na nossa rede de dispositivos Apple. Uma investigação subsequente revelou que dezenas de iPhones dos nossos funcionários foram infetados”.

As investigações até à data indicam também que o malware, aparentemente, só pode afetar sistemas iOS anteriores à última versão e encontraram vestígios de ataques iniciados em 2019, nos equipamentos afetados.

iOS é uma caixa negra onde o spyware pode esconder-se durante anos

A empresa sublinha que dada a natureza fechada do iOS, não há ferramentas padrão do sistema operativo para detetar e remover spyware dos smartphones infetados. Isso só pode ser feito com ferramentas externas. Isto dificulta uma resposta rápida a situações como esta. Outra dificuldade, é o facto de o malware bloquear as atualizações do iOS, deixando para já como única solução alternativa eficaz, uma que não consegue preservar os dados dos utilizadores.

Essa opção passa por restaurar os parâmetros de fábrica do equipamento e instalar a versão mais recente do iOS. “Caso contrário, mesmo que o spyware seja removido da memória do dispositivo, após uma reinicialização o Triangulation pode infetar novamente o dispositivo, usando vulnerabilidades de uma versão desatualizada do iOS”.

Na nota publicada no blog sobre o tema, a Kaspersky não poupa críticas às políticas de segurança da Apple e aponta como principal razão para o incidente, a natureza do iOS, considerando que o sistema operativo da Apple “é uma ‘caixa negra’ onde spywares como o Triangulation podem esconder-se durante anos”.

“Detectar e analisar ameaças desse tipo é dificultado pelo monopólio da Apple em ferramentas de investigação, tornando-o o refúgio perfeito para spyware”, diz ainda o mesmo texto, assinado por Eugene Kaspersky, CEO e fundador da Kaspersky.

O responsável insiste, como já defendeu antes, que a escassez de notícias sobre incidentes de segurança no iOS está longe de ser um sinal de que não existem. “O que realmente acontece no iOS é desconhecido para os especialistas em segurança”. Para os utilizadores, há uma “ilusão de segurança associada à completa opacidade do sistema”, sublinha Eugene Kaspersky.

Este novo ataque foi batizado pela Kaspersky como Triangulação, porque para reconhecer as especificações de software e hardware do sistema atacado, o Triangulation usa a tecnologia Canvas Fingerprinting e desenha um triângulo amarelo na memória do dispositivo. Neste artigo técnico estão mais detalhes partilhados pela Kaspersky.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.