Semnalată de experții companiei de securitate Kaspersky, o campanie spyware ar fi putut infecta milioane de telefoane iPhone cu o formă de malware nedetectabil, profitând de o vulnerabilitate iMessage până acum nedocumentată.
Aparent, atacul se răspândește în mod silențios, prin mesaje invizibile recepționate în aplicația iMeesage. Neanunțate în niciun fel pe telefon, acestea sunt special concepute pentru a declanșa executarea automată a unui fișier executabil inclus ca atașament, indiferent dacă utilizatorul interacționează sau nu cu aplicația de mesagerie. Ulterior, aplicația infiltrată pe telefon va descărca din internet module suplimentare ale unui server de comandă și control. Odată trecut de această etapă, gruparea de hackeri aflată la celălalt capăt poate viza o țintă anume desemnată pentru colectarea de informații, instalând alte elemente malware pentru facilitarea acestui scop. De asemenea, rețeaua astfel creată poate fi folosită pentru supraveghere în masă, sau în alte scopuri rămase deocamdată neelucidate.
Cert este că autorii acestei campanii, botezată “Operation Triangulation”, par să fi depus eforturi considerabile pentru ascunderea urmelor și desfășurarea cât mai discretă a operațiunilor. Spre exemplu, atât mesajul primit în aplicația iMeesage, cât și modulele descărcate pentru facilitarea infectării sunt șterse de pe telefon imediat ce e această etapă a fost depășită. Totodată, pe telefonul compromis este blocată funcția de actualizare iOS, malware-ul din categoria Advanced Persistent Threat (APT) rămânând ferm „ancorat” în zona de memorie protejată a sistemului de operare. Protejat chiar de mecanismele de securitate iOS, software-ul clandestin este nu doar foarte dificil de descoperit, ci și aproape imposibil de înlăturat fără a risca pierderea datelor stocate pe telefon.
Fără mijloace eficiente de detecție, utilizatorii iPhone pot suspecta că au fost infectați cu acest spyware dacă telefonul „întârzie” în mod inexplicabil să primească actualizări iOS. Astfel, dacă pe telefon încă ai versiunea iOS 15.7 (sau mai veche), deși modelul folosit este eligibil pentru o versiune mai nouă, singura soluție de urmat este resetarea telefonului la setările de fabrică și aplicarea imediată a celei mai recente actualizări iOS furnizată de Apple. În caz contrar, telefonul poate fi reinfectat prin metoda descrisă mai sus.
Potrivit Kaspersky, cele primele urme de propagare a acestui malware au apărut în anul 2019, însă campania pare să fie activă și în prezent, exploatând cele aproximativ 20% dintre exemplarele iPhone încă în circulație dar neactualizate măcar la versiunea iOS 16.