Uno spyware realizzato dalla società israeliana QuaDream è stato usato per penetrare le difese degli iPhone di giornalisti, oppositori politici e personale di una ONG utilizzando metodi “zero click”: la vittima non deve scaricare niente.
A segnalare e descrivere il funzionamento dello spyware, sono Microsoft e Citizen Lab dell’Università di Toronto.
In totale sarebbero dieci le persone così intercettate, di cui cinque fanno parte della società civile in varie parti del mondo, anche in Europa (ma non in Italia).
Lo spyware, chiamato “REIGN”, permette di intercettare le telefonate, i messaggi e altre informazioni dal dispositivo infettato e viene proposto principalmente ai governi e alle forze dell’ordine. QuaDream, società specializzata nello sviluppo e nella vendita di tecnologia offensiva digitale avanzata a clienti governativi, lo vende soltanto, mentre viene concretamente utilizzato dai clienti.
Questo spyware sfrutta alcune vulnerabilità “zero day” disponibili in iOS 14 (non coperte da un aggiornamento di Apple al momento degli attacchi. A TechCrunch, Apple ha riferito che le vulnerabilità scoperte da Microsoft e Citizen Lab non sono state usate dopo marzo 2021, cioè da quando è uscito l’aggiornamento che le copriva).
Lo spyware di QuaDream utilizza metodi “zero click”, quindi, non è necessario che l’utente scarichi un documento ingannevole o clicchi su un link per eseguire le sue funzionalità; ciò lo rende molto pericoloso e ricercato.
L’infezione avviene attraverso il calendario: per distribuire lo spyware, infatti, sono stati utilizzati inviti di un calendario, come quelli usati per organizzare riunioni aziendali, secondo quanto rilevato da Citizen Lab.
Fra le sue funzionalità, ci sono la possibilità di tracciare la posizione del dispositivo, registrare telefonate e audio dal microfono e anche scattare immagini attraverso le fotocamere del dispositivo.
Le vittime intercettate sono almeno cinque in Nord America, Asia centrale, Sud-est asiatico, Europa (ma non in Italia) e Medio Oriente e includono giornalisti, esponenti dell’opposizione politica e un lavoratore di una ONG.
Citizen Lab nel suo rapport sottolinea che lo spyware contiene anche una funzione di auto-distribuzione che elimina le varie tracce che vengono lasciate indietro dallo spyware, scoperta sui dispositivi delle vittime.
https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/
https://www.dday.it/redazione/45569/spyware-israele-quadream
