Una amenaza persistente avanzada (APT) previamente desconocida se dirige a los dispositivos iOS como parte de una campaña móvil sofisticada y de larga duración denominada Operación Triangulación que comenzó en 2019.
«Los objetivos se infectan mediante exploits de cero clics a través de la plataforma iMessage, y el malware se ejecuta con privilegios de root, obteniendo un control total sobre el dispositivo y los datos del usuario», Kaspersky dicho.
La compañía rusa de ciberseguridad dijo que descubrió rastros de compromiso después de crear copias de seguridad fuera de línea de los dispositivos objetivo.
La cadena de ataque comienza cuando el dispositivo iOS recibe un mensaje a través de iMessage que contiene un archivo adjunto con el exploit.
Se dice que el exploit es de clic cero, lo que significa que la recepción del mensaje activa la vulnerabilidad sin requerir ninguna interacción del usuario para lograr la ejecución del código.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
También está configurado para recuperar cargas útiles adicionales para la escalada de privilegios y eliminar un malware de etapa final desde un servidor remoto que Kaspersky describió como una «plataforma APT con todas las funciones».
El implante, que se ejecuta con privilegios de raíz, es capaz de recopilar información confidencial y está equipado para ejecutar código descargado como módulos de complemento del servidor.
En la fase final, tanto el mensaje inicial como el exploit en el archivo adjunto se eliminan para borrar cualquier rastro de la infección.
«El conjunto de herramientas maliciosas no es compatible con la persistencia, muy probablemente debido a las limitaciones del [operating system]», dijo Kaspersky. «Las líneas de tiempo de varios dispositivos indican que pueden volver a infectarse después de reiniciar».
La escala y el alcance exactos de la campaña aún no están claros, pero la compañía dijo que los ataques continúan, con infecciones exitosas que penetran en dispositivos con iOS 15.7, que se lanzó el 12 de septiembre de 2022.
Actualmente tampoco se sabe si los ataques se aprovechan de una vulnerabilidad de día cero en iOS. Hacker News se ha comunicado con Apple para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta.