كشف تقرير صادر عن مايكروسوفت ومختبر سيتزن لاب عن برنامج تجسس جديد يحمل اسم QuaDream Spyware، وهو برنامج يستهدف أجهزة iPhone ويحتوي على مجموعة واسعة من الوظائف الخبيثة التي تشمل تسجيل المكالمات الهاتفية والصوت من الميكروفون والتقاط الصور باستخدام الكاميرا الأمامية والخلفية للجهاز، بالإضافة إلى سحب العناصر من سلسلة المفاتيح للجهاز وحذفها، واختراق إطار Anisette الخاص بالهاتف(وهو إطار عمل تطبيقات آيفون الخاصة بشركة آبل. يتيح هذا الإطار لمطوري التطبيقات بناء تطبيقات آيفون الخاصة بهم باستخدام لغات برمجة مألوفة مثل سويفت Swift وأوبجكتيف- سي Objectice-C).

استنادًا إلى تحليل العينات التي تمت مشاركتها مع مختبر سيتزن لاب بواسطة Microsoft Threat Intelligence، قام المختبر بتطوير مؤشرات مكنته من تحديد ما لا يقل عن خمسة ضحايا من المجتمع المدني لبرامج التجسس والاستغلال الخاصة بـ كوا دريم QuaDream في أمريكا الشمالية وآسيا الوسطى وجنوب شرق آسيا وأوروبا والشرق الأوسط. من بين الضحايا صحفيين وشخصيات سياسية معارضة وعاملون بمنظمات غير حكومية.

وقال سيتزن لاب إنه أجرى فحصًا للإنترنت لتحديد خوادم QuaDream، وفي بعض الحالات تمكن من تحديد مواقع المشغلين لأنظمة QuaDream. واكتشف أنظمة تعمل من بلغاريا وجمهورية التشيك والمجر وغانا وإسرائيل والمكسيك ورومانيا وسنغافورة والإمارات العربية المتحدة وأوزبكستان.

وحدد التقرير أيضًا آثار هجوم النقرة الصفرية Zero-click والذي استخدم لنشر برنامج التجسس QuaDream ضد إصدارات iOS 14.4 و 14.4.2 ، وربما الإصدارات الأخرى. موضحًا أن الهجوم المشتبه به، والذي تم تسميته بـ إند أوف دايز ENDOFDAYS ، يستفيد من دعوات تقويم آي كلاود iCloud غير المرئية المرسلة من مشغل برنامج التجسس إلى الضحايا.

وتضمن التحليل تفاصيل عن البرنامج الخبيث الذي استهدف أجهزة iOS، وكيفية تقليل الأثر الجنائي لهذا البرنامج لمنع الكشف وعرقلة التحقيقات. باستخدام آليات مثل مراقبة مجلدات محددة للكشف عن أي بيانات خبيثة أو ملفات ذات صلة بالخطأ، ومن ثم القيام بحذفها بمجرد اكتشافها.

ويستخدم وكيل البرامج الخبيثة الرئيسي مجموعة من الوظائف المختلفة للتحديث والتحكم في البرامج الخبيثة الأخرى. وتتضمن هذه الوظائف الاستماع إلى المكالمات وتسجيلها وجمع الرسائل النصية والمواقع الجغرافية ومعلومات الاتصال والصور ومقاطع الفيديو. وأشار التقرير إلى أن البرامج الخبيثة تستخدم الوظائف المخفية والتشفير لمنع الكشف عنها.

ويشتبه في استخدام البرنامج لإنشاء رموز تسجيل دخول ثنائية العوامل صالحة لتواريخ مستقبلية، لتسهيل سرقة بيانات المستخدم مباشرةً من iCloud. كما يمكن للبرنامج تشغيل استعلامات في قواعد البيانات SQL على الهاتف وتتبع موقع الجهاز وتنفيذ عمليات مختلفة في نظام الملفات بما في ذلك البحث عن الملفات التي تطابق الخصائص المحددة.

ووفقًا لتقرير مايكروسوفت، يحتوي البرنامج أيضًا على ميزة التدمير الذاتي التي تقوم بتنظيف الآثار المختلفة التي تتركها برامج التجسس نفسها. كما يحتوي البرنامج على ميزة الحذف الذاتي للأحداث من تقويم iOS، وتم تسمية هذه الميزة باسم "CCF1" و "CCF2".

ويعد هذا البرنامج التجسس جديدًا وغير معروف سابقًا، ويتم توزيعه عن طريق البريد الإلكتروني ورسائل النص القصير، ويتم تنفيذ البرنامج عن بعد بعدة طرق، مثل الضغط على رابط أو فتح مرفقات في البريد الإلكتروني.

وينصح خبراء الأمن بتحديث الأجهزة المستخدمة بنظام iOS إلى أحدث إصدارات النظام لتفادي التعرض للبرامج الخبيثة، وعدم فتح الرسائل أو المرفقات التي تأتي من مصادر غير معروفة، وتفعيل ميزة المصادقة الثنائية لتعزيز أمان الحسابات الشخصية.

المصدر: microsoft + Citizen Lab