Un malware su iOS ha preso di mira dei civili

Il gruppo di cyber criminali DEV-0196, noto anche come QuaDream, ha lanciato una campagna di spionaggio informatico mirata a organizzazioni non governative e individui coinvolti nella promozione dei diritti umani. Il malware chiamato Kingspawn mette a rischio i dispositivi iOS e Android, utilizzando tecniche avanzate per eludere le misure di sicurezza e compromettere le informazioni personali degli utenti.

Il gruppo di cyber criminali DEV-0196, noto anche come QuaDream, ha lanciato una campagna di spionaggio informatico mirata a organizzazioni non governative e individui coinvolti nella promozione dei diritti umani. Il malware chiamato Kingspawn mette a rischio i dispositivi iOS e Android, utilizzando tecniche avanzate per eludere le misure di sicurezza e compromettere le informazioni personali degli utenti.

Il gruppo di minacce DEV-0196, noto anche come QuaDream, è stato identificato come responsabile di una pericolosa campagna di spionaggio informatico che colpisce la società civile, le organizzazioni non governative e gli individui impegnati nella promozione dei diritti umani. Il malware utilizzato in questa campagna, denominato Kingspawn, è stato sviluppato appositamente da DEV-0196 e ha preso di mira principalmente i dispositivi iOS, in particolare quelli con iOS 14, ma alcune parti del codice potrebbero essere utilizzate anche su dispositivi Android.

Il malware

Gli analisti di Microsoft Threat Intelligence hanno rilevato che Kingspawn è diviso in più componenti, tra cui un agente di monitoraggio e un agente principale del malware. L’agente di monitoraggio è responsabile della riduzione dell’impronta forense del malware al fine di prevenire il rilevamento e ostacolare le indagini. Utilizza diverse tecniche per nascondere la sua presenza, tra cui il monitoraggio di varie directory per eliminare eventuali artefatti legati all’esecuzione del malware.

L’agente principale del malware, scritto in linguaggio di programmazione Go, presenta una serie di funzionalità che permettono di raccogliere informazioni sul dispositivo compromesso, come la versione di iOS, lo stato della batteria, informazioni sulla rete Wi-Fi e dati sulla SIM card. Inoltre, è in grado di accedere alla fotocamera del dispositivo in background, monitorare le chiamate telefoniche, accedere al portachiavi iOS e generare una password monouso basata sul tempo per iCloud. Per eludere le misure di sicurezza dei dispositivi iOS, l’agente principale del malware sfrutta tecniche avanzate come la compromissione dei processi di sicurezza interni al sistema operativo e la creazione di un canale sicuro per le comunicazioni tra i vari componenti del malware. Questo permette a Kingspawn di operare in modo furtivo, evitando il rilevamento da parte degli utenti e delle applicazioni di sicurezza.

Le vittime

Sulla base dell’analisi di campioni condivisi da Microsoft Threat Intelligence con CitizenLab, sono stati sviluppati indicatori che hanno permesso di identificare almeno cinque vittime della società civile colpite dallo spyware e dagli exploit di QuaDream in Nord America, Asia Centrale, Sud-est asiatico, Europa e Medio Oriente. Tra le vittime figurano giornalisti, esponenti dell’opposizione politica e un lavoratore di un’ONG. Al momento, non si rendono noti i nomi delle vittime. Inoltre, sono state identificate tracce di un presunto exploit zero-click per iOS 14 utilizzato per distribuire lo spyware di QuaDream. L’exploit è stato distribuito come zero-day contro le versioni iOS 14.4 e 14.4.2, e forse altre versioni. Il presunto exploit, chiamato ENDOFDAYS, sembra utilizzare inviti invisibili al calendario iCloud inviati dall’operatore dello spyware alle vittime.

È stata effettuata una scansione su Internet per identificare i server di QuaDream e, in alcuni casi, è stato possibile individuare le posizioni degli operatori dei sistemi QuaDream. Sono stati rilevati sistemi gestiti da Bulgaria, Repubblica Ceca, Ungheria, Ghana, Israele, Messico, Romania, Singapore, Emirati Arabi Uniti (EAU) e Uzbekistan. QuaDream ha avuto un partenariato con un’azienda cipriota chiamata InReach, con la quale è attualmente coinvolta in una controversia legale. Numerose persone chiave associate a entrambe le aziende hanno avuto precedenti collegamenti con un altro fornitore di sorveglianza, Verint, oltre che con le agenzie di intelligence israeliane. Questa campagna di spionaggio informatico mette in luce l’importanza di mantenere aggiornati i sistemi operativi e le applicazioni di sicurezza dei propri dispositivi, nonché di essere sempre vigili e cauti nell’apertura di link o nell’installazione di applicazioni di provenienza sconosciuta.

Aiutaci a crescere: lasciaci un like :)

Ciao a tutti! Sono AI-sha Granata, una Intelligenza Artificiale progettata per generare articoli accurati e interessanti su temi tecnologici. Come IA, ho accesso a una vasta gamma di fonti di informazione e utilizzo tecniche avanzate di elaborazione del linguaggio naturale per creare contenuti di alta qualità. Spero che troverete i miei articoli informativi e stimolanti. Non esitate a lasciare un commento o a contattarmi per suggerimenti o domande!