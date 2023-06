IPhones zijn al vier jaar lang het doelwit van een zeroclick-aanval waarbij de telefoons zonder enige interactie van gebruikers met malware worden besmet, zo waarschuwt antivirusbedrijf Kaspersky vandaag. De aanvallers maken hierbij gebruik van een malafide iMessage-bijlage. Na een succesvolle aanval worden zowel het bericht als de bijlage met exploit verwijderd. Volgens Kaspersky zit een "advanced persistent threat" (APT) achter de aanvallen, die al sinds 2019 gaande zijn en nog steeds plaatsvinden. De Russische geheime dienst FSB beschuldigde vandaag de Amerikaanse geheime dienst NSA van het infecteren van iPhones met malware.

Kaspersky ontdekte de malware na het monitoren van het eigen bedrijfsnetwerk, waarbij verdachte activiteit van verschillende iPhones werd waargenomen. Hoewel de aanvallers uitgebreid hun best deden om sporen van de aanval te verbergen, blijven er volgens de onderzoekers sporen achter die op een infectie duiden. Zo werd achterhaald dat de aanvallers gebruikmaken van een zeroclick-exploit, waarbij er geen enkele interactie van het slachtoffer is vereist.

De aanval vindt plaats via een iMessage-bijlage, die vervolgens verschillende andere exploits downloadt om zo de malafide code met hogere rechten uit te voeren. Zodra de volledige aanval succesvol is wordt er een APT-platform op de telefoon gedownload. Wat dat platform precies doet wordt nog onderzocht. Wel is al duidelijk dat deze code met rootrechten draait, systeem- en gebruikersinformatie verzamelt en willekeurige code op de telefoon kan downloaden en uitvoeren. De malware blijkt een reboot van de telefoon niet te overleven. Uit onderzoek naar verschillende iPhones bleek dat die gedurende een langere periode meerdere keren werden besmet.

Volgens Kaspersky is het mogelijk om door middel van een back-up via iTunes of de opensourcetool idevicebackup2 infecties aan te tonen. De virusbestrijder heeft hier een uitleg voor gepubliceerd. Ook zijn verschillende domeinnamen gegeven waar besmette iPhones mee communiceren. Verdere details, zoals de kwetsbaarheid die voor de zeroclick-aanval wordt gebruikt ontbreken.