image

Kaspersky geeft meer details over iPhone-spyware: mogelijk ook macOS-versie

woensdag 21 juni 2023, 12:32 door Redactie, 8 reacties

Begin deze maand waarschuwde antivirusbedrijf Kaspersky voor een wereldwijde aanval waarbij iPhones al jarenlang onopgemerkt via een zeroclick-aanval met spyware worden geïnfecteerd. De virusbestrijder heeft nu meer informatie over de "TriangleDB" spyware gegeven en suggereert dat er ook een versie voor macOS bestaat.

De zeroclick-aanval op iPhones vindt plaats via een onzichtbare iMessage met een malafide bijlage, die verschillende kwetsbaarheden in iOS gebruikt voor het installeren van spyware, liet de virusbestrijder eerder al weten. Voor de aanval is geen enkele interactie van gebruikers vereist. Vervolgens verstuurt de spyware privégegevens naar de aanvallers. Het gaat om opnames via de microfoon, foto's van chatapps, locatiegegevens en data over verschillende andere activiteiten van de eigenaar van de besmette iPhone.

Na het uitvoeren van de aanval worden zowel het bericht als de bijlage verwijderd en blijven er weinig sporen op de telefoon achter die op de aanwezigheid van de malware duiden. Deze sporen zijn echter wel via een back-up van de iPhone te achterhalen. Kaspersky ontdekte de spyware na verdacht verkeer op het eigen netwerk. Volgens Eugene Kaspersky, oprichter van het antivirusbedrijf, zijn tientallen iPhones van het middenmanagement en de directie besmet geraakt. Het bedrijf zou echter niet het primaire doelwit van de aanval zijn.

In een vandaag verschenen update over de spyware stelt Kaspersky dat die wordt geïnstalleerd nadat de aanvallers, door misbruik te maken van een kwetsbaarheid in de kernel, rootrechten op de iPhone hebben gekregen. Verder draait de spyware volledig in het geheugen van de telefoon, wat inhoudt dat die volledig wordt verwijderd na het herstarten van de telefoon. In het geval de telefoon niet wordt herstart zal de spyware zichzelf na dertig dagen verwijderen, tenzij de aanvallers deze periode verlengen.

Verder blijkt dat de spyware een commando kan krijgen om gestolen gegevens alleen via wifi te versturen. Ook worden permissies van het besturingssysteem gevraagd om toegang tot de camera, microfoon en adresboek te krijgen, of via Bluetooth verbonden apparaten te kunnen gebruiken. Welke kwetsbaarheden de aanvallers voor het infecteren van iPhones gebruiken wordt niet door Kaspersky gemeld.

Tijdens de analyse van de spywarecode vonden de onderzoekers ook een klasse die wordt gebruikt voor de opslag van de spywareconfiguratie. Daarin wordt ook een methode genoemd genaamd "populateWithFieldsMacOSOnly". Deze methode wordt echter nergens in de iOS-spyware aangeroepen. "Het bestaan betekent dat macOS-apparaten ook via soortgelijke spyware kunnen worden aangevallen", aldus onderzoeker Georgy Kucherin. Verdere details over de vermeende macOS-spyware worden echter niet gegeven. Kaspersky is naar eigen zeggen nog bezig met het onderzoek naar de aanval.

Reacties (8)
21-06-2023, 13:26 door linuxpro
En waar blijft Kaspersky met de verwijdertool want dat is natuurlijk de volgende stap.
21-06-2023, 13:50 door Anoniem
misschien zijn onze politici of sommigen van hen ook wel doelwit van....collegae? Nee toch, ondenkbaar....of misschien toch niet zo ondenkbaar?
Hoe ging dat ook al weer in Spanje met de politici waar zelfs de telefoons van hun echtgenotes werden afgeluisterd!
Zo benje immers beter voorbereid een debat in te gaan, wanneer van te voren al de tegenargumenten kent van jouw politieke tegenstander
ik heb natuurlijk het niet over Omtzigt of Rutte. In Nederland zijn we NETJES.
21-06-2023, 14:00 door Anoniem
Door linuxpro: En waar blijft Kaspersky met de verwijdertool want dat is natuurlijk de volgende stap.

Die gaat er niet komen van Kaspersky, omdat zo'n tool ontzettend veel meer rechten nodig heeft (en , wellicht OS kennis) dan een normale iOS app ooit toegestaan gaat krijgen van Apple om de Appstore te plaatsen.

Gevalletje factory reset en je backup terugzetten denk ik . Ik _gok_ dat de spyware niet in iCloud backups terecht komt.

Eigenlijk is het hele concept 'verwijdertool' een misbaksel - de reden dat ze bestaan is dat 'reinstall from scratch en restore user data' zo'n enorm probleem is op de gebruikelijke desktop OSen.

Re-install OS + applicaties, restore user data zou makkelijk, snel en efficient moeten zijn - dan heb je (vrijwel) geen verwijder tools nodig.
- vrijwel : er is wellicht een mix-categorie tussen 'user data' en 'spyware' - denk aan scripten, browser plugins e.d.
21-06-2023, 14:13 door Anoniem
Door linuxpro: En waar blijft Kaspersky met de verwijdertool want dat is natuurlijk de volgende stap.

Er staat duidelijk in het artikel dat de malware een herstart niet overleefd omdat het in het geheugen draait....
21-06-2023, 14:44 door Anoniem
Wie heeft het meeste belang om Kaspersky af te luisteren? Volgens mij hebben alle westerse overheden het bedrijf al in de ban gedaan.
21-06-2023, 14:45 door Anoniem
Door linuxpro: En waar blijft Kaspersky met de verwijdertool want dat is natuurlijk de volgende stap.

Voor IOS is dit onmogelijk Apple geeft geen root toegang aan applicaties. Dit is al jaar en dag een discussie met antivirus ontwikkelaars over het IOS besturing systeem waar ze graag antivirus software op willen uitbrengen. Apple zal hier actie op ondernemen als dit nog niet gebeurt is.

Voor MacOS kunnen ze dit wel aanbieden, maar ook hier zal Apple via Gatekeeper of al actie op hebben ondernomen of binnenkort gebeuren.
21-06-2023, 18:44 door Anoniem
dat het via imessage gaat geeft mij al genoeg informatie, dit is een nsa achterdeur als ruilmiddel tegen encryptie..

dus apple mag marketing blaten met encryptie zus en zo en zichzelf op de schouder kloppen en in ruil daarvoor moeten. ze een backdoor voor de nsa inbouwen...

ik zou me trouwens. niet verbazen als deze info bij kaspersky van de russische tegenhanger zou komen..
in de trend van 'heej, wij hebben dit gezien, misschien moeten jullie hier eens naar kijken... en meteen slecht nieuws voor het westen, win win voor rusky nsa...
22-06-2023, 05:44 door Anoniem
Babunia a.k.a. baba jaga bracht hen naar de States, net als de broertjes Brin etc.
De eindgebruiker was en is altijd al "het bokkie".

En we weten, wat er elk jaar met de zondebok in het ravijn gebeurde.

Monitoring en surveillance komt naar je toe deze zomer, net als voorafgaande jaren.
'Niet alleen virussen dus'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.