Gli sviluppatori di Kaspersky, affermano di avere individuato una campagna di malware che avrebbe preso di mira gli iPhone fino a iOS 15.7, sfruttando iMessage.
Il malware identificato dal team Kaspersky è indicato come “estremamente complesso e mirato”.
A detta di Kaspersky, l’attacco consiste “nell’introdurre in modo discreto uno spyware negli iPhone dei dipendenti nella nostra azienda, sia in quelli dei dirigenti che dei quadri intermedi”.
L’attacco avviene tramite un iMessage invisibile con un allegato dannoso che, sfruttando una serie di vulnerabilità del sistema operativo iOS, viene eseguito sul dispositivo e installa lo spyware. Lo spyware viene distribuito in modo occulto e non richiede alcuna azione da parte dell’utente. Una volta attivato, invia silenziosamente dati sensibili a i server remoti dei cybercriminali: registrazioni realizzate con il microfono, foto provenienti dalle app di messaggistica, geolocalizzazione e dati relativi a molte altre attività del proprietario del dispositivo “infetto”.
Gli specialisti in sicurezza riferiscono che l’infezione è stata rilevata da Kaspersky Unified Monitoring and Analysis Platform (KUMA) una soluzione SIEM (Security Information and Event Management) nativa per la gestione delle informazioni e degli eventi. «Il sistema ha rilevato un’anomalia nella nostra rete proveniente dai dispositivi Apple. Ulteriori indagini da parte del nostro team hanno dimostrato che diverse decine di iPhone dei nostri dipendenti di alto livello erano stati infettati da un nuovo spyware estremamente sofisticato dal punto di vista tecnologico che abbiamo battezzato “Triangulation”».
KAspersky riferisce che un indizio evidente della presenza di Triangulation sul dispositivo è la disabilitazione della possibilità di aggiornare il sistema operativo iOS.
Per un rilevamento più accurato dell’infezione, è necessario eseguire una copia di backup del dispositivo e analizzarla con un’apposita utility.
In questo articolo di Securelist i dettagli tecnici. Gli esperti di sicurezza riferiscono di stare sviluppando un’utility di rilevamento gratuita che sarà disponibile dopo i test.
«A causa delle peculiarità del blocco degli aggiornamenti iOS sui dispositivi infettati, non abbiamo ancora trovato un modo efficace per rimuovere lo spyware senza perdere i dati dell’utente. Questo può essere fatto solo resettando gli iPhone infetti e riportandoli alle impostazioni di fabbrica, installando l’ultima versione del sistema operativo e l’intero ambiente utente da zero. Altrimenti, anche se lo spyware viene eliminato dalla memoria del dispositivo dopo il riavvio, Triangulation è comunque in grado di reinfettare il dispositivo attraverso le vulnerabilità di una versione obsoleta di iOS».
“Il report su Triangulation”, riferisce ancora Kaspersky, “è solo l’inizio di una ricerca su questo sofisticato attacco”, spiegando che ulteriori dettagli verranno condivisi successivamente.
Come proteggersi da Triangulation
Tutte le tecniche indicate da Kaspersky per portare avanti l’attacco richiedono richiede grandi competenze tecniche. Il modo più semplice per proteggersi è ad ogni modo quello di aggiornare l’iPhone all’ultima versione di iOS 16.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.