Microsoft et Citizen Lab ont découvert un logiciel espion commercial créé par une société basée en Israël, QuaDream, utilisé pour compromettre les iPhones d’individus à haut risque à l’aide d’un exploit sans clic nommé ENDOFDAYS.

Les attaquants ont ciblé une vulnérabilité zero-day affectant les iPhones exécutant iOS 1.4 jusqu’à 14.4.2 entre janvier 2021 et novembre 2021, en utilisant ce que Citizen Lab a décrit comme des « invitations de calendrier iCloud antidatées et invisibles ».

Lorsque des invitations de calendrier iCloud avec des horodatages antidatés sont reçues sur des appareils iOS, elles sont automatiquement ajoutées au calendrier de l’utilisateur sans aucune notification ni invite, permettant à l’exploit ENDOFDAYS de s’exécuter sans interaction de l’utilisateur et aux attaques d’être indétectables par les cibles.

Les appareils compromis appartenaient à « au moins cinq victimes de la société civile des logiciels espions et des exploits de QuaDream en Amérique du Nord, en Asie centrale, en Asie du Sud-Est, en Europe et au Moyen-Orient », ont déclaré les chercheurs de Citizen Lab.

« Les victimes comprennent des journalistes, des personnalités de l’opposition politique et un employé d’une ONG. Nous ne nommons pas les victimes pour le moment. »

Le malware de surveillance déployé dans cette campagne (surnommé KingsPawn par Microsoft) a également été conçu pour s’auto-supprimer et nettoyer toutes les traces des iPhones des victimes pour échapper à la détection.

« Nous avons constaté que le logiciel espion contient également une fonction d’autodestruction qui nettoie diverses traces laissées par le logiciel espion lui-même », a déclaré Citizen Lab.

« Notre analyse de la fonction d’autodestruction a révélé un nom de processus utilisé par le logiciel espion, que nous avons découvert sur les appareils victimes. »

Le logiciel espion est livré avec un large éventail de « fonctionnalités » basées sur l’analyse de Citizen Lab, allant de l’enregistrement audio et des appels environnementaux à la possibilité pour les acteurs de la menace de rechercher les téléphones des victimes.

La liste complète des fonctionnalités découvertes lors de l’analyse des logiciels espions de QuaDream comprend les éléments suivants :

  • Enregistrement audio des appels téléphoniques
  • Enregistrement audio du microphone
  • Prendre des photos via l’appareil photo avant ou arrière de l’appareil
  • Exfiltrer et supprimer des éléments du trousseau de l’appareil
  • Détourner le framework Anisette du téléphone et accrocher l’appel système gettimeofday pour générer des codes de connexion iCloud à mot de passe à usage unique (TOTP) pour des dates arbitraires. Nous soupçonnons que cela est utilisé pour générer des codes d’authentification à deux facteurs valides pour les dates futures, afin de faciliter l’exfiltration persistante des données de l’utilisateur directement depuis iCloud
  • Exécuter des requêtes dans des bases de données SQL sur le téléphone
  • Nettoyer les restes qui pourraient être laissés par des exploits sans clic
  • Suivi de l’emplacement de l’appareil
  • Effectuer diverses opérations sur le système de fichiers, y compris la recherche de fichiers correspondant aux caractéristiques spécifiées

Citizen Lab a trouvé des serveurs QuaDream dans plusieurs pays, dont la Bulgarie, la République tchèque, la Hongrie, le Ghana, Israël, le Mexique, la Roumanie, Singapour, les Émirats arabes unis (EAU) et l’Ouzbékistan.

« En fin de compte, ce rapport rappelle que l’industrie des logiciels espions mercenaires est plus grande que n’importe quelle entreprise et qu’une vigilance continue est requise de la part des chercheurs et des cibles potentielles », a déclaré Citizeb Labs.

« Jusqu’à ce que la prolifération incontrôlable des logiciels espions commerciaux soit enrayée avec succès par des réglementations gouvernementales systémiques, le nombre de cas d’abus est susceptible de continuer à augmenter, alimenté à la fois par des entreprises aux noms reconnaissables, ainsi que par d’autres opérant encore dans l’ombre. « 

Il y a un an, Citizen Lab a également révélé des détails sur un exploit iMessage sans clic (surnommé HOMAGE) qui a été utilisé pour installer des logiciels espions du groupe NSO sur les iPhones de politiciens, journalistes et militants catalans.

Les logiciels espions commerciaux fournis par des fournisseurs de technologies de surveillance tels que NSO Group, Cytrox, Hacking Team et FinFisher ont été déployés à plusieurs reprises sur des appareils Android et iOS vulnérables aux failles zero-day (dans la plupart des cas via des exploits sans clic indétectables par les cibles).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *