Según Microsoft y Citizen Lab, es probable que QuaDream desplegara el programa espía en 2021 contra objetivos como periodistas y figuras de la oposición política.
Se ha descubierto que una empresa de vigilancia israelí infecta iPhones con software espía, posiblemente aprovechando el sistema de invitaciones al calendario iCloud de Apple.
Los hallazgos provienen de Microsoft y el grupo de vigilancia Citizen Lab, que investigó muestras de spyware que supuestamente provienen de QuaDream, con sede en Israel. El spyware, apodado «EndofDays», se utilizó en 2021 y aprovechaba un exploit de «clic cero», es decir, un ataque que puede secuestrar un iPhone sin que el usuario tenga que hacer clic en nada.
NEW INVESTIGATION🚨: exposing zero-click mercenary #spyware company #QuaDream.
Victims include journalists, opposition politicians, an NGO worker…
Many countries w/suspected operators.
THREAD 1/ https://t.co/mRIwhPXjEt pic.twitter.com/mJ1Mhoq2iO
— John Scott-Railton (@jsrailton) April 11, 2023
Una vez infectado, EndofDays puede grabar el audio de las llamadas telefónicas, tomar fotos en secreto y buscar archivos en el dispositivo, entre otras capacidades, incluida una función de autodestrucción que puede borrar los rastros del spyware.
Las capacidades de autodestrucción dificultan la comprensión del alcance total del ataque. Pero en su informe, Citizen Lab descubrió pruebas de que QuaDream probablemente utilizaba «invitaciones invisibles de calendario de iCloud enviadas por el operador del programa espía a las víctimas» para llevar a cabo el ataque.
Las propias muestras de spyware contienen la capacidad de eliminar eventos del calendario de iOS asociados a una dirección de correo electrónico específica. Citizen Lab también examinó los iPhones pertenecientes a dos víctimas del spyware que mostraban rastros de manipulación a través de archivos ICS de invitaciones de calendario.
«Sospechamos que el uso por parte del atacante de etiquetas CDATA de cierre y apertura en el .ics podría facilitar potencialmente la inclusión de datos XML adicionales que serían procesados por el teléfono del usuario, con el fin de desencadenar algún comportamiento deseado por el atacante», dijo Citizen Lab.
Por lo tanto, es posible que el spyware llegara a través de correos electrónicos que contenían invitaciones maliciosas al calendario. Bill Marczak, investigador de Citizen Lab, también señala que las invitaciones de calendario maliciosas correspondían a eventos registrados en el pasado, lo que impedía que iCloud notificara automáticamente a los usuarios sobre las invitaciones. Sin embargo, los investigadores no pudieron recuperar ningún dato XML de los archivos ICS.
We identified calendar events sent around the time of exploitation that were backdated (the backdating caused no user-facing notification to be generated), and were malformed, showing traces of possible XML injection (excerpted in the image below). pic.twitter.com/RjkIMpZ34o
— Bill Marczak (@billmarczak) April 11, 2023
El informe de Citizen Lab continúa diciendo que EndofDays infectó al menos a cinco víctimas, entre ellas periodistas, figuras de la oposición política y un trabajador de una ONG. Las víctimas se encontraban en Norteamérica, Asia Central, Sudeste Asiático, Europa y Oriente Próximo.
Aunque Apple parece haber parcheado el exploit de spyware en 2021 a través de varias actualizaciones de software, Microsoft dice que es «muy probable» que QuaDream haya actualizado sus tácticas para secuestrar iPhones en las últimas versiones de iOS.
QuaDream mantiene una presencia en la sombra; la empresa no tiene sitio web público ni cuentas en redes sociales. Sin embargo, según Reuters, QuaDream ha vendido sus tecnologías de software espía a clientes de las fuerzas de seguridad de México, Arabia Saudí y Singapur.
Citizen Lab también publicó pruebas que demuestran que QuaDream mantiene servidores en 10 países para filtrar datos de dispositivos infectados con el software espía de la empresa, entre ellos la República Checa, México, Rumanía, Ghana y los Emiratos Árabes Unidos.
«En última instancia, este informe es un recordatorio de que la industria del software espía mercenario es mayor que la de cualquier empresa y que tanto los investigadores como los objetivos potenciales deben mantener una vigilancia continua», añadió Citizen Lab.
Un portavoz de Apple dijo que no hay pruebas de que se haya utilizado el exploit de QuaDream desde que se lanzó iOS 14.4.2 en marzo de 2021. La compañía también ha desarrollado un nuevo «Modo de bloqueo» opcional, que puede frustrar los intentos de pirateo de las empresas de software espía profesionales.