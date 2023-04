Microsoft e Citizen Lab hanno scoperto una campagna di spionaggio effettuata con lo spyware commerciale Reign (chiamato KingsPawn dall’azienda di Redmond) venduto da QuaDream, una piccola società israeliana fondata del 2016. Gli attacchi sono stati effettuati dal gruppo DEV-0196 contro giornalisti, oppositori politici e dipendenti di organizzazioni non governative che operano in diversi paesi.

Exploit zero-click di iOS 14.4

KingsPawn sfrutta l’exploit zero-click denominato ENDOFDAYS per colpire gli smartphone con iOS 14.4 e 14.4.2. Alcune tecniche non funzionano più, ma il gruppo DEV-0196 aggiornerà sicuramente il malware per supportare le versioni più recenti del sistema operativo.

Analizzando il codice, Microsoft ha identificato due componenti. Il primo (Monitor agent) è scritto in linguaggio Objective-C e viene usato per ostacolare la rilevazione e le indagini. Il secondo (Main agent), scritto in linguaggio Go, è lo spyware. Citizen Lab ha identificato anche il downloader del malware.

KingsPawn può raccogliere informazioni sul dispositivo (ad esempio versione di iOS e stato della batteria), della rete WiFi (ad esempio SSID e modalità aeroplano) e della rete cellulare (ad esempio nome operatore e numero di telefono), registrare audio dalle telefonate e dal microfono, usare la fotocamera, tracciare la posizione geografica, generare codici TOTP (Time-based One-Time Password) per iCloud e accedere al keychain.

Citizen Lab ha scoperto anche una funzionalità di auto-distruzione che permette di eliminare le tracce dello spyware. Tutti i dati vengono inviati ad un server remoto mediante una connessione HTTPS. Non sono noti i governi che hanno utilizzato lo spyware.

