Una amenaza persistente avanzada (APT) previamente desconocida se dirige a dispositivos iOS como parte de una campaña móvil sofisticada y de larga duración denominada Operación Triangulación que comenzó en 2019.

“Los objetivos se infectan mediante exploits de clic cero a través de la plataforma iMessage, y el malware se ejecuta con privilegios de root, obteniendo un control completo sobre el dispositivo y los datos del usuario”, dijo Kaspersky.

La compañía rusa de ciberseguridad dijo que descubrió rastros de compromiso después de crear copias de seguridad fuera de línea de los dispositivos objetivo.

La cadena de ataque comienza con el dispositivo iOS que recibe un mensaje a través de iMessage que contiene un archivo adjunto que lleva el exploit.

Se dice que el exploit es de clic cero, lo que significa que la recepción del mensaje desencadena la vulnerabilidad sin requerir ninguna interacción del usuario para lograr la ejecución del código.

También está configurado para recuperar cargas útiles adicionales para la escalada de privilegios y soltar un malware de etapa final desde un servidor remoto que Kaspersky describió como una “plataforma APT con todas las funciones”.

El implante, que se ejecuta con privilegios de root, es capaz de recolectar información confidencial y está equipado para ejecutar código descargado como módulos de complemento desde el servidor.

En la fase final, tanto el mensaje inicial como el exploit en el archivo adjunto se eliminan para borrar cualquier rastro de la infección.

“El conjunto de herramientas maliciosas no admite la persistencia, muy probablemente debido a las limitaciones del [sistema operativo]”, dijo Kaspersky. “Las líneas de tiempo de múltiples dispositivos indican que pueden ser reinfectados después de reiniciar”.

La escala exacta y el alcance de la campaña siguen sin estar claros, pero la compañía dijo que los ataques están en curso, con infecciones exitosas que penetran en dispositivos con iOS 15.7, que se lanzó el 12 de septiembre de 2022.

Fuente: The Hacker News