Novo kit iOS permite controlo total de dispositivos

Investigadores de segurança identificaram um novo exploit kit direcionado a dispositivos iOS que permite o controlo total dos equipamentos comprometidos. A ferramenta, designada DarkSword, tem sido utilizada tanto por atores estatais como por fornecedores comerciais de spyware.

O kit foi associado ao grupo de ciberespionagem UNC6353, ligado à Rússia, em campanhas direcionadas à Ucrânia. De acordo com a análise conduzida por iVerify, Google e Lookout, o DarkSword integra uma cadeia de exploração que abrange seis vulnerabilidades no sistema operativo móvel da Apple.

O ataque inicia-se através da exploração de falhas no navegador Safari para obter execução remota de código (RCE), evoluindo depois para técnicas de evasão de sandbox e exploração do kernel, culminando na execução de código com privilégios elevados.

Os investigadores indicam que os ataques foram realizados através de watering hole attacks, com injeção de iframes maliciosos em sites legítimos, incluindo páginas de organizações institucionais e meios de comunicação.

O DarkSword partilha infraestrutura com o exploit kit Coruna, anteriormente identificado, sugerindo que ambas as ferramentas fazem parte do mesmo ecossistema de ataque. Enquanto o Coruna explorava um conjunto mais alargado de vulnerabilidades, o DarkSword foca-se numa cadeia mais compacta, mas igualmente eficaz.

Além de operações de ciberespionagem, foram identificados indícios de utilização por fornecedores comerciais de vigilância, incluindo campanhas dirigidas a utilizadores na Arábia Saudita, Turquia e Malásia.

Após a exploração, o payload final permite a recolha extensiva de dados dos dispositivos comprometidos, incluindo mensagens de aplicações como WhatsApp e Telegram, contactos, histórico de chamadas, credenciais, dados de navegação e carteiras de criptomoedas.

Segundo a Lookout, o malware apresenta um elevado grau de sofisticação e modularidade, permitindo a rápida adaptação e evolução das suas capacidades ao longo do tempo.

Os investigadores alertam que, apesar das correções já disponibilizadas pela Apple, uma parte significativa dos dispositivos pode continuar vulnerável. Estimativas indicam que centenas de milhões de equipamentos poderão estar expostos, dependendo das versões do sistema operativo em utilização.