Pesquisadores do Project Zero, da Google, revelaram série de páginas na internet que disseminavam malwares que atacavam especificamente usuários de iPhones e iPads.
As páginas estavam operacionais por anos e haviam, elas próprias, sido também invadidas em algum momento.
As ditas páginas tinham alta tração de audiência e eram visitadas várias vezes semanalmente, disseram os pesquisadores. “Não havia especificação de algo: simplesmente visitar o site hackeado já era suficiente para que o servidor infectado atacasse o seu dispositivo; e se houvesse sucesso, instalar um implante de monitoramento. Nós estimamos que tais sites recebiam milhares de visitantes por semana”, disse Ian Beer, membro da equipe de pesquisadores, em um post.
Alguns dos malwares faziam uso do que o jargão tecnológico chama de “falhas de dia zero”, ou seja, um tipo de vulnerabilidade que a fabricante ainda desconhece e, por isso, possui “zero dias” para consertá-la. É o tipo de problema que a empresa não sabe que tem, mas, quando aparece, deve resolver a toda velocidade, ou então arriscar mais e mais casos de segurança até que o buraco em suas defesas seja fechado.
Segundo o post assinado por Beer, foram identificadas cinco cadeias de malware baseadas em 14 falhas de segurança, que afetavam desde o iOS 10 até o mais recente iOS 12. Ao menos uma dessas cadeias fazia uso de uma falha de dia zero, a qual a Apple consertou após ter sido alertada pela Google em fevereiro deste ano.
O implante de monitoramento, uma vez instalado, faz o que já se supõe pelo seu nome: monitora o comportamento do sistema operacional em busca de arquivos e dados privados de seu usuário. O foco desses malwares era o roubo de informações, “com um servidor de comando e controle recebendo pedidos de ações dos malwares a cada 60 segundos”, conta Beer.
O monitoramento também ganhava acesso aos arquivos de resguardo de senhas do usuário, além de comprometer até mesmo aplicativos com criptografia de ponta a ponta como o WhatsApp ou o Telegram. Embora tais apps tenham proteção contra esse tipo de interceptação, ela age apenas a nível de aplicação e nada podem fazer quando é o próprio dispositivo que está comprometido.
Ian Beer explica, porém, que o malware não era persistente: uma vez que o dispositivo fosse reiniciado, o material danoso era removido, exigindo que o usuário visitasse novamente a página infectada para ser reinstalado. O especialista conta, porém, que dado o número de visitas semanais das páginas mencionadas e o fato de que apenas uma infecção já é suficiente para transmitir milhares de informações sigilosas, “reinfecções” poderiam muito bem ser frequentes.
Há também a questão das senhas em si: se um hacker já tem acesso à elas, ele ainda pode comprometer a vítima mesmo depois de perder acesso ao aparelho. “Dada a abrangência das informações roubadas, os invasores ainda podem manter acesso persistente a diversas contas e serviços ao usar os tokens de autenticação roubados dos arquivos de senha, mesmo depois de serem removidos do dispositivo. As informações roubadas também eram transferidas para o servidor sem criptografia”, explica o especialista em segurança.
Para Beer e sua equipe, a situação toda é indício de que há um grupo por trás do gerenciamento desses ataques, ainda que os ataques em si não tivessem um alvo específico. Ele explica que invasões a dispositivos com sistemas operacionais da Apple costumam ser caros: um iPhone é difícil de ser hackeado devido ao comportamento do sistema, que é programado para rodar um código especificamente para aquela seção ou comando que o usuário deseja executar.
A Apple não comentou o caso.