Se descubrió que una compañía de vigilancia israelí infecta iPhones con software espía, posiblemente al explotar el sistema de invitación de calendario iCloud de Apple.
Los hallazgos provienen de Microsoft y el grupo de vigilancia Citizen Lab, que investigó muestras de spyware que supuestamente provienen de QuaDream, con sede en Israel. El software espía, denominado «EndofDays», se usó en 2021 y aprovechó un exploit de «clic cero», o un ataque que puede secuestrar un iPhone sin que el usuario haga clic en nada.
Una vez que infecta, EndofDays puede grabar el audio de las llamadas telefónicas, tomar fotos en secreto y buscar archivos en el dispositivo, entre otras capacidades, incluida una función de autodestrucción que puede borrar los rastros del spyware.
Las habilidades de borrado automático dificultan la comprensión del alcance total del ataque. Pero en su informe(Se abre en una nueva ventana)Citizen Lab descubrió evidencia de que QuaDream probablemente estaba usando «invitaciones de calendario iCloud invisibles enviadas por el operador del spyware a las víctimas» para lanzar el ataque.
Las muestras de spyware contienen la capacidad de eliminar eventos del calendario de iOS asociados con una dirección de correo electrónico específica. Citizen Lab también examinó los iPhones pertenecientes a dos víctimas del software espía que mostraban rastros de manipulación a través de archivos ICS de invitación de calendario.
“Sospechamos que el uso por parte del atacante de cerrar y abrir etiquetas CDATA en .ics podría potencialmente facilitar la inclusión de datos XML adicionales que serían procesados por el teléfono del usuario, para desencadenar algún comportamiento deseado por el atacante”, dijo Citizen Lab. .
Por lo tanto, es posible que el spyware llegara a través de correos electrónicos con invitaciones de calendario maliciosas. El investigador de Citizen Lab, Bill Marczak, también señala que las invitaciones maliciosas del calendario eran para eventos registrados en el pasado, lo que impedía que iCloud notificara automáticamente a los usuarios sobre las invitaciones. Sin embargo, los investigadores no pudieron recuperar ningún dato XML de los archivos ICS.
El informe de Citizen Lab continúa diciendo que EndofDays infectó al menos a cinco víctimas, incluidos periodistas, figuras de la oposición política y un trabajador de una ONG. Las víctimas se encontraban en América del Norte, Asia Central, el Sudeste Asiático, Europa y Medio Oriente.
Aunque Apple parece haber parcheado el exploit de software espía en 2021 a través de varias actualizaciones de software, dice Microsoft(Se abre en una nueva ventana) es «altamente probable» que QuaDream haya actualizado sus tácticas para secuestrar iPhones en las últimas versiones de iOS.
Recomendado por Nuestros Editores
QuaDream mantiene una presencia sombría; la empresa no tiene un sitio web público ni cuentas en las redes sociales. pero de acuerdo(Se abre en una nueva ventana) a Reuters, QuaDream ha vendido sus tecnologías de software espía a clientes encargados de hacer cumplir la ley en México, Arabia Saudita y Singapur.
Citizen Lab también publicó evidencia que muestra que QuaDream mantiene servidores en 10 países para filtrar datos de dispositivos infectados con el spyware de la compañía, incluidos la República Checa, México, Rumania, Ghana y los Emiratos Árabes Unidos.
“En última instancia, este informe es un recordatorio de que la industria del spyware mercenario es más grande que cualquier otra empresa, y que tanto los investigadores como los posibles objetivos requieren una vigilancia continua”, agregó Citizen Lab.
Un portavoz de Apple le dijo a PCMag que no hay evidencia de que el exploit de QuaDream se haya utilizado desde que se envió iOS 14.4.2 en marzo de 2021. La compañía también desarrolló un nuevo «Modo de bloqueo» opcional, que puede obstaculizar los intentos de piratería de las compañías profesionales de spyware.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.