Microsoft dan Citizen Lab menemukan spyware komersial yang dibuat oleh perusahaan yang berbasis di Israel, QuaDream, yang digunakan untuk mengkompromikan iPhone individu berisiko tinggi menggunakan eksploitasi tanpa klik bernama ENDOFDAYS.
Para penyerang menargetkan kerentanan zero-day yang memengaruhi iPhone yang menjalankan iOS 1.4 hingga 14.4.2 antara Januari 2021 dan November 2021, menggunakan apa yang digambarkan oleh Citizen Lab sebagai undangan kalender iCloud yang ketinggalan zaman dan tidak terlihat.
Saat undangan kalender iCloud dengan stempel waktu mundur diterima di perangkat iOS, undangan tersebut secara otomatis ditambahkan ke kalender pengguna tanpa pemberitahuan atau prompt apa pun, memungkinkan eksploitasi ENDOFDAYS berjalan tanpa interaksi pengguna dan serangan tidak terdeteksi oleh target.
Perangkat yang disusupi milik “setidaknya lima korban masyarakat sipil dari spyware dan eksploitasi QuaDream di Amerika Utara, Asia Tengah, Asia Tenggara, Eropa, dan Timur Tengah,” peneliti Citizen Lab dikatakan.
“Korban termasuk jurnalis, tokoh oposisi politik, dan pekerja LSM. Kami tidak menyebutkan nama korban saat ini.”
Malware pengawasan yang digunakan dalam kampanye ini (dijuluki KingsPawn oleh Microsoft) juga dirancang untuk menghapus dirinya sendiri dan membersihkan jejak apa pun dari iPhone korban untuk menghindari deteksi.
“Kami menemukan bahwa spyware juga berisi fitur penghancuran diri yang membersihkan berbagai jejak yang ditinggalkan oleh spyware itu sendiri,” kata Lab Citizen.
“Analisis kami terhadap fitur penghancuran diri mengungkapkan nama proses yang digunakan oleh spyware, yang kami temukan di perangkat korban.”
Spyware hadir dengan berbagai “fitur” berdasarkan analisis Citizen Lab, mulai dari merekam audio lingkungan dan panggilan hingga memungkinkan aktor ancaman untuk menggeledah ponsel korban.
Daftar lengkap kemampuan yang ditemukan saat menganalisis spyware QuaDream adalah sebagai berikut:
- Merekam audio dari panggilan telepon
- Merekam audio dari mikrofon
- Mengambil gambar melalui kamera depan atau belakang perangkat
- Mengeksfiltrasi dan menghapus item dari gantungan kunci perangkat
- Membajak kerangka kerja Anisette ponsel dan mengaitkan gettimeofday syscall untuk menghasilkan kode login one-time password (TOTP) berbasis waktu iCloud untuk tanggal acak. Kami menduga bahwa ini digunakan untuk menghasilkan kode autentikasi dua faktor yang valid untuk tanggal mendatang, guna memfasilitasi eksfiltrasi data pengguna secara terus-menerus langsung dari iCloud
- Menjalankan kueri dalam database SQL di telepon
- Membersihkan sisa-sisa yang mungkin tertinggal akibat eksploitasi zero-click
- Melacak lokasi perangkat
- Melakukan berbagai operasi sistem file, termasuk mencari file yang cocok dengan karakteristik tertentu
Citizen Lab menemukan server QuaDream di beberapa negara, termasuk Bulgaria, Republik Ceko, Hongaria, Ghana, Israel, Meksiko, Rumania, Singapura, Uni Emirat Arab (UEA), dan Uzbekistan.
“Pada akhirnya, laporan ini adalah pengingat bahwa industri untuk spyware tentara bayaran lebih besar daripada perusahaan mana pun, dan bahwa kewaspadaan berkelanjutan diperlukan oleh para peneliti dan target potensial,” kata Citizeb Labs.
“Sampai proliferasi spyware komersial yang tidak terkendali berhasil dibatasi melalui peraturan pemerintah yang sistemik, jumlah kasus penyalahgunaan kemungkinan akan terus bertambah, didorong baik oleh perusahaan dengan nama yang dapat dikenali, maupun perusahaan lain yang masih beroperasi dalam bayang-bayang. “
Setahun yang lalu, Citizen Lab juga membeberkan detailnya pada eksploitasi iMessage tanpa klik (dijuluki HOMAGE) yang digunakan untuk menginstal spyware NSO Group di iPhone politisi, jurnalis, dan aktivis Catalan.
Spyware komersial yang disediakan oleh penyedia teknologi pengawasan seperti Grup NSO, Cytrox, Tim PeretasanDan FinFisher telah berulang kali digunakan pada perangkat Android dan iOS yang rentan terhadap kelemahan zero-day (dalam banyak kasus melalui eksploitasi zero-click yang tidak terdeteksi oleh target).
