Una certezza e un’ipotesi: nel primo caso c’è un virus informatico molto potente, chiamato Coruna, è in grado di sottrarre, con un solo clic, dati sensibili dai dispositivi iPhone (e più in generale dei prodotti Apple) di milioni di persone nel mondo. Nel secondo caso si ipotizza che questo malware possa essere stato prodotto dai servizi americani per spiare i russi ma poi finito nelle mani sbagliate.
Di cosa si tratta
Al di là del potenziale spionaggio internazionale, Google Threat Intelligence Group (GTIG) ha diramato una lunga nota spiegando nel dettaglio quello che viene chiamato il “misterioso viaggio di un potente exploit kit iOS”. Nel dettaglio, a essere presi di mira sono le versioni dalla 13.0 (rilasciata a settembre 2019) alla versione 17.2.1 (rilasciata a dicembre 2023) e contenente cinque catene complete di exploit iOS e un totale di 23 exploit.
Cosa sono gli exploit
Con questo termine gli sviluppatori spiegano che un exploit è un frammento di codice che approfitta di un errore o di una vulnerabilità che si trova all’interno di un programma così da poter accedere in maniera fraudolenta al sistema. I danni sono potenzialmente incalcolabili: se l’utente clicca per errore in una pagina web “contaminata”, può vedere sottratti dati sensibili, user e password, foto e documenti.
Un caso unico
“Si tratta del primo caso osservato di sfruttamento di massa di telefoni cellulari, inclusi quelli iOS, da parte di un gruppo criminale che utilizza strumenti probabilmente sviluppati da uno stato nazionale - spiegano gli esperti della società di sicurezza iVerify. “Il GTIG fa riferimento a UNC6691, che utilizza una sofisticata catena di exploit sviluppata da un fornitore di spyware, che secondo iVerify presenta analogie con framework precedenti sviluppati da attori malevoli affiliati al governo degli Stati Uniti. Lo stesso framework è stato osservato anche da attori malevoli russi che prendevano di mira gli ucraini”.
Come difendersi
Gli esperti di iVerify spiegano che i dispositivi vanno aggiornati alla versione software più recente dove sono già incluse le patch più aggiornate per le vulnerabilità note. “In genere, gli attacchi spyware non sono persistenti, il che significa che riavviare il telefono eliminerà l'infezione, ma il dispositivo può essere reinfettato se l'utente visita nuovamente uno dei siti dannosi”, aggiungono.
“Sebbene possa essere fastidioso, riavviare il dispositivo quotidianamente è attualmente la migliore difesa contro i malware avanzati per chi non ha accesso a team di sicurezza mobile o a una piattaforma di sicurezza mobile completa come iVerify Enterprise. Consigliamo inoltre di reimpostare le password per tutti i servizi online a cui si accede dal dispositivo e di abilitare l'autenticazione a due fattori per tutti gli account importanti”.
