Operation Triangulation: nuovo spyware per iOS

Gli esperti di Kaskersky hanno rilevato attività sospette su alcuni iPhone aziendali. In seguito alle prime indagini è stato individuato un malware sconosciuto che sfrutta una vulnerabilità zero-click di iOS, in particolare del servizio iMessage. Successivamente, un ricercatore della software house ha confermato che si tratta dello stesso spyware scoperto dal Federal Security Service (FSB) della Russia.

Spyware usato dalla NSA?

Vista l’impossibilità di analizzare il codice di iOS direttamente sugli iPhone, i ricercatori di Kaspersky hanno creato copie di backup offline e usato un tool specifico per trovare le tracce dell’infezione, alla quale è stato assegnato il nome Triangulation. Eugene Kaspersky ha dichiarato che l’attacco è estremamente complesso. L’obiettivo è raccogliere diverse informazioni da inviare al server remoto (foto, posizione geografica e altre).

Analizzando i marker temporali di file, directory e record di database è stata ricostruita la catena degli eventi. Gli autori dell’attacco (la NSA secondo i russi) hanno inviato un messaggio con un allegato tramite iMessage. Senza nessuna interazione dell’utente, il messaggio sfrutta una vulnerabilità di iOS che permette di eseguire codice arbitrario.

L’exploit scarica quindi altri payload dal server remoto che consentono di ottenere privilegi elevati e quindi di raccogliere dati sullo smartphone e degli utenti. L’attacco termina con l’invio dei dati al server e la cancellazione del messaggio iniziale. In base all’indagine, i primi segni di infezione risalgono al 2019 e la versione più recente infettata dallo spyware è iOS 15.7. Ciò significa che la vulnerabilità potrebbe essere stata risolta con le versioni successive.

Usando Wireshark, gli esperti di Kaspersky hanno individuato 15 domini usati per l’attività di spionaggio. Triangulation non ha persistenza, quindi può essere cancellato dalla memoria con il riavvio dell’iPhone. Tuttavia, il malware blocca il download degli aggiornamenti, quindi il dispositivo può essere nuovamente infettato. L’unica soluzione è ripristinare le impostazioni di fabbrica (reset) e installare l’ultima versione del sistema operativo.