Técnicas de hacking de iPhone às vezes são descritos quase como animais raros e esquivos: os hackers os usam de forma tão furtiva e cuidadosa contra um número tão pequeno de alvos escolhidos a dedo que raramente são vistos na natureza. Agora, uma recente onda de campanhas de espionagem e cibercriminosos em vez disso, implantou essas mesmas ferramentas de controle de telefone, incorporadas em sites infectados, para hackear milhares de telefones indiscriminadamente. E uma nova técnica em particular – capaz de dominar qualquer uma das centenas de milhões de Dispositivos iOS— apareceu na web de uma forma facilmente reutilizável, colocando uma fração significativa da população mundial iPhone usuários em risco.
Pesquisadores do Google e das empresas de segurança cibernética iVerify e Lookout na quarta-feira conjuntamente revelado o descoberta de uma sofisticada técnica de hacking de iPhone conhecida como DarkSword que eles viram em uso em sites infectados, capaz de hackear instantânea e silenciosamente dispositivos iOS que visitam esses sites. Embora a técnica não afete as versões mais recentes e atualizadas do iOS, ela funciona em dispositivos iOS que executam versões do sistema operacional anterior da Apple, iOS 18, que no mês passado ainda representava quase um quarto dos iPhones, de acordo com a própria contagem da Apple.
“Um grande número de usuários de iOS pode ter todos os seus dados pessoais roubados simplesmente por visitar um site popular”, diz Rocky Cole, cofundador e CEO da iVerify. “Centenas de milhões de pessoas que ainda usam dispositivos Apple mais antigos ou versões mais antigas de sistemas operacionais permanecem vulneráveis.”
A campanha de hacking do iPhone que usou o DarkSword veio à tona apenas duas semanas após a revelação de outra, ainda mais sofisticada e completa. kit de ferramentas de hacking conhecido como Coruna foi encontrado em uso pelo que o Google descreve como um grupo de espionagem patrocinado pelo Estado russo e outros grupos de hackers. Embora DarkSword pareça ter sido criado por diferentes desenvolvedores de Coruna, os pesquisadores descobriram que ele foi usado pelos mesmos espiões russos. Tal como o Coruna, também foi incorporado em componentes de websites ucranianos legítimos, incluindo meios de comunicação online e um site de uma agência governamental, para recolher dados dos telefones dos visitantes.
Além desta campanha de espionagem russa, de acordo com o Google, o DarkSword foi descoberto anteriormente, quando hackers o usaram para comprometer os telefones das vítimas na Arábia Saudita, Turquia e Malásia. No caso dos alvos turcos e malaios, o Google escreve no seu blog que os clientes da empresa turca de segurança e vigilância PARS Defense parecem ter usado a ferramenta de intrusão. Tudo isso sugere que o DarkSword já proliferou para vários grupos de hackers diferentes, diz o Google, e é provável que muitos mais o adotem.
Na verdade, o cofundador e pesquisador do iVerify, Matthias Frielingsdorf, observa que os hackers russos que mais recentemente usaram o DarkSword em sua campanha de espionagem deixaram o código completo e desobstruído do DarkSword – completo com comentários explicativos em inglês que descrevem cada componente e incluem o nome “DarkSword” para a ferramenta – disponível nesses sites para qualquer pessoa acessar e reutilizar. Esse descuido, diz ele, praticamente convida outros hackers a pegar a ferramenta e atacar outros usuários do iPhone. “Qualquer pessoa que capturasse manualmente todas as diferentes partes da exploração poderia colocá-las em seu próprio servidor web e começar a infectar telefones. É simples assim”, diz Frielingsdorf. “Também está tudo muito bem documentado. É realmente muito fácil.”
A WIRED entrou em contato com a Apple para comentar as descobertas dos pesquisadores, mas a empresa não comentou. O Google se recusou a comentar além da postagem do blog sobre as descobertas do DarkSword. A WIRED também entrou em contato com a PARS Defense por meio de sua conta X, mas não recebeu uma resposta imediata.
De acordo com a Lookout, o DarkSword foi projetado para roubar dados de iPhones vulneráveis que incluem senhas e fotos; registros do iMessage, WhatsApp e Telegram; histórico do navegador; Dados de calendário e notas; e até dados do aplicativo Health da Apple. Apesar do aparente foco de espionagem da campanha de hackers, DarkSword também rouba credenciais de carteiras de criptomoedas dos usuários, sugerindo que os hackers podem ter realizado um possível negócio paralelo no crime cibernético com fins lucrativos.
