image

IPhone-gebruikers via zeroday-exploit besmet met QuaDream-spyware

woensdag 12 april 2023, 09:54 door Redactie, 6 reacties

De iPhones van medewerkers van maatschappelijke organisaties in Europa, Noord-Amerika, Centraal-Azië, Zuidoost-Azië en het Midden-Oosten zijn door middel van een zerodaylek besmet met de QuaDream-spyware, zo stellen onderzoekers van Citizen Lab en Microsoft. Het gaat zeer waarschijnlijk om een zero-click exploit voor iOS 14, waarbij geen enkele interactie van gebruikers was vereist om besmet te raken.

Bij de aanval op iPhone-gebruikers wordt vermoedelijk gebruikgemaakt van "onzichtbare" iCloud-kalenderuitnodigingen. QuaDream is een Israëlische spywareleverancier die een product genaamd "Reign" aan klanten aanbiedt, vergelijkbaar met de Pegasus-spyware van de NSO Group. Het bedrijf zou onder andere klanten in Singapore, Saudi-Arabië, Mexico en Ghana hebben.

De QuaDream-spyware kan telefoongesprekken die via besmette telefoons worden gevoerd opnemen, de microfoon inschakelen en zo het slachtoffer afluisteren, via de camera's foto's maken, informatie uit de keychain stelen, iCloud 2FA-wachtwoorden genereren, bestanden en databases doorzoeken, verzamelen van wifi-gegevens, locatie van het slachtoffer vaststellen en de eigen sporen verwijderen. Dit moet detectie van de spyware en gebruikte exploit bemoeilijken.

Citizen Lab stelt dat het meer dan zeshonderd servers en tweehonderd domeinen heeft aangetroffen die aan de QuaDream-spyware zijn te koppelen en tussen eind 2021 en begin 2023 zijn gebruikt. Via deze servers wordt informatie van slachtoffers ontvangen. Ook worden ze ingezet voor one-click browser-exploits, waarbij een slachtoffer eerst op een link moet klikken om besmet te raken.

QuaDream werd afgelopen december nog genoemd in een rapport van Meta, dat 250 accounts die vermoedelijk door het bedrijf werden gebruikt offline haalde. Tevens stelde Meta dat het tests van QuaDream zag om zowel Androidtelefoons als iPhones te infecteren en vervolgens allerlei informatie van slachtoffers te stelen. Ook Microsoft stelt dat een deel van de ontdekte spywarecode ook op Androidtoestellen is te gebruiken. CitizenLab stelt dat overheden de spywaremarkt moeten reguleren, omdat de situatie nu helemaal uit de hand loopt en misbruik van de technologie alleen maar verder zal toenemen.

Reacties (6)
12-04-2023, 10:02 door Anoniem
Oke, het word tijd voor me om een robuustere telefoon en laptop te regelen.
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Tijd om mijn digitale leven in een fort knox te veranderen...

En als ik een beetje mag dromen, dan ook een reactive AV erbij:
Bij gevonden malware direct terugslaan en de malware C&C servers bricken. ;)

tueeuy4
12-04-2023, 12:28 door Erik van Straten
Uit https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/:
Sample 2 appears to have functionality for:
[...]
• Exfiltrating and removing items from the device’s keychain

• Hijacking the phone’s Anisette framework and hooking the gettimeofday syscall to generate iCloud time-based one-time password (TOTP) login codes for arbitrary dates. We suspect that this is used to generate two-factor authentication codes valid for future dates, in order to facilitate persistent exfiltration of the user’s data directly from iCloud.
[...]
Die eerste vind ik echt scary, de wijze van opslaan van die keychain zou juist dit moeten voorkómen.

Die tweede staat bekend als "time traveler" attack; hoe dat werkt legde ik eerder uit in https://www.security.nl/posting/708673/Risico+%22Authenticator%22+apps.
12-04-2023, 12:42 door Anoniem
Door Anoniem: Oke, het word tijd voor me om een robuustere telefoon en laptop te regelen.
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Tijd om mijn digitale leven in een fort knox te veranderen...

En als ik een beetje mag dromen, dan ook een reactive AV erbij:
Bij gevonden malware direct terugslaan en de malware C&C servers bricken. ;)

tueeuy4
Je kunt ook gewoon doorgaan met je leven en je zorgen maken over echte risico's?
12-04-2023, 12:45 door Anoniem
Door Anoniem: Oke, het word tijd voor me om een robuustere telefoon en laptop te regelen.
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Tijd om mijn digitale leven in een fort knox te veranderen...

En als ik een beetje mag dromen, dan ook een reactive AV erbij:
Bij gevonden malware direct terugslaan en de malware C&C servers bricken. ;)

tueeuy4

Wat bedoelt U nou echt duidelijk te maken?
12-04-2023, 13:34 door Anoniem
Door Anoniem: <snip> Je kunt ook gewoon doorgaan met je leven en je zorgen maken over echte risico's?

Hmmm, daar ben ik niet zo zeker van.
Hij zegt zelf:
Dan kan ik ook meteen mijn backup strategie verbeteren en een beter wachtwoordbeleid invoeren.
Dat wil zeggen dat hij geen goede backup strategie heeft, en een slecht wachtwoord beleid.
Dus voor de gemiddelde persoon kan dit betekenen:
- "ik heb nog wel ergens een backup liggen, als het goed is"
- "zelfde wachtwoord voor meerdere diensten, waarom ook niet?"

Dan is het zeker wel verstandig om even alles beter op een rijtje te zetten!
Nu noem je dat hij zich beter zorgen kan maken over "echte risico's", maar welke zijn dat dan?

Volgens mij pakt hij zeker wel de zwakke punten aan.
Natuurlijk een beetje overdreven met die auto-bricker, maar zo'n ding zou ik ook wel willen hebben.

anon101
12-04-2023, 15:43 door Anoniem
Als ik naar de console log App op mijn mac kijk en zie wat daar verschijnt, dan zie ik exact dezelfde processen opduiken terwijl mijn systeemmelding vroeg om nogmaals bevestiging van mijn iCloud credentials, toch zag een Apple medewerker die ik over de credentials melding sprak er geen enkel kwaad in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.