KingsPawn: ecco il nuovo spyware per iOS

Microsoft e Citizen Lab hanno informato di aver da poco scoperto una nuova campagna di spionaggio messa a segno con uno spyware commerciale denominato Reign, chiamato KingsPawn dall’azienda di Redmond, che colpisce i dispositivi iOS. Lo spyware viene venduto da QuaDream, una società israeliana fondata del 2016.

KingsPawn attacca iOS

Andando più in dettaglio, gli attacchi sono stati effettuati dal gruppo DEV-0196 contro giornalisti, oppositori politici e dipendenti di organizzazioni non governative che sono operativi in vari paesi nel mondo. Non sono noti i governi che ne hanno fatto uso.

KingsPawn può raccogliere informazioni sul dispositivo, in merito alla rete Wi-Fi e alla connessione cellulare. Inoltre, può registrare l'audio dalle telefonate e dal microfono, sfruttare la fotocamera, tracciare la posizione geografica, generare codici TOTP (Time-based One-Time Password) per iCloud e accedere al Portachiavi iCloud. Tutti i dati raccolti vengono inviati poi a un server remoto mediante una connessione HTTPS.

Lo spyaware entra in azione sfruttando l’exploit zero-click ENDOFDAYS per colpire gli iPhone che eseguono con iOS 14.4 e iOS 14.4.2. Al momento alcune tecniche non sono più funzionanti, ma i malintenzionati provvederanno sicuramente ad aggiornare il malware per supportare le versioni più recenti di iOS.

Dall'analisi del codice sono emersi due componenti: Monitor agent che è scritto in linguaggio Objective-C e viene usato per rendere difficoltosa la rilevazione e le indagini e Main agent che è scritto in linguaggio Go e rappresenta lo spyware vero e proprio.

Citizen Lab ha identificato anche il downloader e una funzionalità di auto-distruzione con la quale si vanno ad eliminare le tracce dello spyware.