Microsoft i Citizen Lab otkrili su špijunski softver tvrtke QuaDream sa sjedištem u Izraelu koji se koristio za provaljivanje u iPhone uređaje pojedinaca visokog rizika uz pomoć zero-click eksploatacije pod imenom ENDOFDAYS. Napadači su na uređajima sa sustavom iOS 1.4 do 14.4.2 između siječnja 2021. i studenog 2021. ciljali ranjivost nultog dana koristeći ono što je Citizen Lab opisao kao 'zastarjele i nevidljive pozivnice iCloud kalendara'.

U trenu kad na iOS uređaje stignu pozivnice iCloud kalendara s isteklim datumom, one se automatski dodaju u kalendar bez ikakve obavijesti ili upita, što ENDOFDAYS eksploataciji omogućuje da radi bez interakcije korisnika i da meta uopće ne otkrije napad.

Ugroženi uređaji pripadali su 'najmanje petoro civilnih žrtava QuaDreamovog špijunskog softvera i eksploatacija u Sjevernoj Americi, središnjoj Aziji, jugoistočnoj Aziji, Europi i na Bliskom istoku', rekli su istraživači Citizen Laba. 'Mete uključuju novinare, političke oporbene ličnosti i djelatnike nevladinih organizacija.'

Zlonamjerni softver za nadzor primijenjen u ovoj kampanji (kojeg je Microsoft nazvao KingsPawn) također je dizajniran da se s vremenom sam izbriše i očisti sve tragove sa žrtvinog iPhonea. 'Otkrili smo da špijunski softver također koristi značajku samouništenja koja čisti tragove koje je softver ostavio', kažu iz Citizen Laba. 'Naša analiza značajke samouništenja otkrila je naziv procesa koji koristi špijunski softver te kojeg smo otkrili na žrtvinom uređaju.'

Analiza Citizen Laba ističe da špijunski softver dolazi sa širokim rasponom 'značajki' - od snimanja zvuka okoline i poziva do pretrage žrtvinog telefona.

Kompanija otkriva da klijenti QuaDreama dolaze iz više zemalja uključujući Bugarsku, Češku, Mađarsku, Ganu, Izrael, Meksiko, Rumunjsku, Singapur, Ujedinjene Arapske Emirate (UAE) i Uzbekistan. 'Ovo izvješće na koncu služi kao podsjentik da je industrija plaćeničkog špijunskog softvera veća od bilo koje pojedine tvrtke te da istraživači i potencijalne mete moraju biti stalno oprezne', upozorava Citizen Labs.

'Broj slučajeva će nastaviti rasti sve do trena kad će vlade njihovo širenje usporiti nizom učinkovitih zakonskih odredbi. Iza napada će se nalaziti firme s prepoznatljiivm imenima, kao i velik broj aktera koji djeluju iz sjene'.

Citizen Lab je prije godinu dana također otkrio detalje o napadu na iMessage bez klika (nazvanom HOMAGE) koji se koristio za instalaciju špijunskog softvera NSO Groupa na iPhone katalonskih političara, novinara i aktivista. Komercijalni špijunski softver koji pružaju dobavljači tehnologije nadzora kao što su NSO Group, Cytrox, Hacking Team i FinFisher više je puta implementiran na Android i iOS uređajima osjetljivima na zero-day nedostatke putem zero-click exploita koje mete ne mogu otkriti, zaključuje Bleeping Computer.