A Microsoft és a Citizen Lab fedezete fel azt az izraeli székhelyű QuaDream céget, amely az iPhone felhasználók észrevétlen megfigyelésére készített kereskedelmi kémprogramot. A kémprogrammal történő fertőzés során egy ENDOFDAYS elnevezésű zero-click exploit kerül kihasználására.
2021. január és november között az iOS 14 egyes verzióinak nulladik napi sérülékenységeit kihasználva a támadók – a Citizen Lab megfogalmazása szerint – “láthatatlan” iCloud-naptármeghívókkal lehetővé tették az ENDOFDAYS exploit felhasználói beavatkozás nélküli futtatását a célzott eszközökön.
A célba vett iOS eszközökre olyan visszamenőleges időbélyegzővel ellátott iCloud-naptármeghívók kerültek kiküldésre, amelyek – bármely értesítés vagy engedélykérés nélkül – hozzáadódtak a felhasználók naptárjaihoz, így az exploit felhasználói beavatkozás és észlelés nélkül kezdhette meg működését.
A sérülékenységek kihasználásával ezidáig legalább öt személy esett áldozatául a QuaDream kémprogramjának. Az egyelőre meg nem nevezett áldozatok között újságírók, ellenzéki politikusok és egy NGO munkatársa szerepel Észak-Amerikából, Közép-Ázsiából, Délkelet-Ázsiából, Európából valamint a Közel-Keletről.
A Microsoft által KingsPawnnak nevezett kártevő önmegsemmisítő funkcióval is rendelkezik, amelyet úgy terveztek, hogy a felderítés elkerülése érdekében képes legyen önmaga törlésére, valamint a maga után hagyott nyomok eltüntetésére.
A kémprogram az alábbi funkciókra képes:
- Telefonhívásokról hangfelvételt készíteni;
- Telefon mikrofonja segítségével hangfelvételt készíteni;
- Képeket készíteni a készülék első vagy hátsó kamerájával;
- A készülék iCloud-kulcskarikájából adatokat lekérdezni és eltávolítani;
- A telefon Anisette keretrendszerének eltérítésére és a gettimeofday rendszerhívás bekapcsolására az iCloud időalapú, egyszeri jelszavas bejelentkezési kódok (TOTP) tetszőleges dátumokra történő generálásához. Valószínű, hogy ezt arra használják, hogy jövőbeli időpontokra érvényes kétfaktoros hitelesítési kódokat generáljanak, hogy megkönnyítsék a felhasználó adatainak tartós kiszivárgását közvetlenül az iCloudból.
- SQL-adatbázisokban történő lekérdezések futtatására;
- A zero click támadások által hátrahagyott maradványok eltávolítására;
- A készülék nyomkövetésére;
- Különböző fájlrendszeri műveletek végrehajtására, beleértve a megadott jellemzőknek megfelelő fájlok keresését.
„A Citizen Lab több országban is talált QuaDream szervereket, többek között Bulgáriában, Csehországban, Magyarországon, Ghánában, Izraelben, Mexikóban, Romániában, Szingapúrban, az Egyesült Arab Emírségekben és Üzbegisztánban.”
