Centenas de milhões de iPhones podem ser hackeados com uma nova ferramenta encontrada na natureza

Técnicas de hacking de iPhone às vezes são descritos quase como animais raros e esquivos: os hackers os usam de forma tão furtiva e cuidadosa contra um número tão pequeno de alvos escolhidos a dedo que raramente são vistos na natureza. Agora, uma recente onda de campanhas de espionagem e cibercriminosos em vez disso, implantou essas mesmas ferramentas de controle de telefone, incorporadas em sites infectados, para hackear milhares de telefones indiscriminadamente. E uma nova técnica em particular – capaz de dominar qualquer uma das centenas de milhões de Dispositivos iOS— apareceu na web de uma forma facilmente reutilizável, colocando uma fração significativa da população mundial iPhone usuários em risco.

Pesquisadores do Google e das empresas de segurança cibernética iVerify e Lookout revelaram na quarta-feira a descoberta de uma sofisticada técnica de hacking de iPhone conhecida como DarkSword que eles viram em uso em sites infectados, capaz de hackear instantânea e silenciosamente dispositivos iOS que visitam esses sites. Embora a técnica não afete as versões mais recentes e atualizadas do iOS, ela funciona em dispositivos iOS que executam versões do sistema operacional anterior da Apple, iOS 18, que no mês passado ainda representava quase um quarto dos iPhones, de acordo com a própria contagem da Apple.

“Um grande número de usuários de iOS pode ter todos os seus dados pessoais roubados simplesmente por visitar um site popular”, diz Rocky Cole, cofundador e CEO da iVerify. “Centenas de milhões de pessoas que ainda usam dispositivos Apple mais antigos ou versões mais antigas de sistemas operacionais permanecem vulneráveis.”

A campanha de hacking do iPhone que usou DarkSword veio à tona apenas duas semanas após a revelação de outra, ainda mais sofisticada e completa. kit de ferramentas de hacking conhecido como Coruna foi encontrado em uso pelo que o Google descreve como um grupo de espionagem patrocinado pelo Estado russo e outros grupos de hackers. Embora DarkSword pareça ter sido criado por diferentes desenvolvedores de Coruna, os pesquisadores descobriram que ele foi usado pelos mesmos espiões russos. Tal como o Coruna, também foi incorporado em componentes de websites ucranianos legítimos, incluindo meios de comunicação online e um site de uma agência governamental, para recolher dados dos telefones dos visitantes.

No entanto, igualmente preocupante, diz Matthias Frielingsdorf, cofundador e pesquisador do iVerify, é que os hackers que realizaram aquela campanha de espionagem deixaram o código DarkSword completo e desobstruído – completo com comentários explicativos em inglês que descrevem cada componente e incluem o nome “DarkSword” para a ferramenta – disponível nesses sites para qualquer pessoa acessar e reutilizar. Esse descuido, diz ele, praticamente convida outros grupos de hackers a adotá-lo e a atingir outros usuários do iPhone. “Qualquer pessoa que capturasse manualmente todas as diferentes partes da exploração poderia colocá-las em seu próprio servidor web e começar a infectar telefones. É simples assim”, diz Frielingsdorf. “Também está tudo muito bem documentado. É realmente muito fácil.”

A WIRED entrou em contato com a Apple para comentar as descobertas dos pesquisadores, mas a empresa não comentou. O Google se recusou a comentar além da postagem do blog sobre as descobertas do DarkSword.

De acordo com a Lookout, o DarkSword foi projetado para roubar dados de iPhones vulneráveis ​​que incluem senhas e fotos; registros do iMessage, WhatsApp e Telegram; histórico do navegador; Dados de calendário e notas; e até dados do aplicativo Health da Apple. Apesar do aparente foco de espionagem da campanha de hackers, DarkSword também rouba credenciais de carteiras de criptomoedas dos usuários, sugerindo que os hackers podem ter realizado um possível negócio paralelo no crime cibernético com fins lucrativos.

Em vez de instalar spyware que persiste nos telefones dos usuários, o DarkSword usa técnicas mais furtivas que são mais frequentemente vistas em malware “sem arquivo” que normalmente tem como alvo dispositivos Windows, sequestrando os processos legítimos no sistema operacional de um iPhone para roubar dados. “Em vez de usar uma carga útil de spyware para abrir caminho à força através do sistema de arquivos – o que deixa toneladas de artefatos de exploração que são muito fáceis de detectar – isso apenas usa os processos do sistema da maneira como devem ser usados”, diz Cole do iVerify. “E deixa muito menos vestígios.”