Uma cadeia de dia zero em iOS desenvolvido pela Intellexa permitiu instalar o spyware Predator em iPhones a partir de um único clique em link no Safari, com monitoramento sigiloso de alto nível contra alvos políticos e da sociedade civil.
Como começa o ataque
A campanha usa links únicos maliciosos enviados por aplicativos de mensagem criptografada; Ao abrir o link no Safari, o alvo aciona um exploit RCE em WebKit depois corrigido como CVE-2023-41993. Esse primeiro estágio usa o framework JSKit para obter leitura/escrita arbitrária de memória no renderizador do Safari e então alcançar a execução de código nativo no iOS moderno.
Escalada no kernel e PREYHUNTER
Após comprometer o navegador, o segundo estágio rompe o sandbox do Safari e eleva privilégios explorando CVE-2023-41992 (LPE/escape de sandbox) e CVE-2023-41991 (bypass de validação de certificados e assinatura de código), dando leitura/escrita em memória de kernel. Esse acesso é exposto a um terceiro estágio chamado PREYHUNTER, que atua como pré‑implante do Predator.
O PREYHUNTER é dividido em módulos “helper” e “watcher”: o helper cria um soquete Unix em /tmp/helper.sock e instala ganchos via frameworks internos (DMHooker e UMHooker) para gravar áudio VoIP, fazer keylogging, capturar câmera e executar verificações iniciais sem alertar o usuário; o watcher monitora sinais de análise (modo desenvolvedor, ferramentas como Frida/checkra1n, antivírus móveis, CAs customizados, proxies) e aborta a cadeia se não for ambiente suspeito.
Alvos e atribuição
O Google Threat Analysis Group e o Google Cloud Threat Intelligence observaram a cadeia em dispositivos no Egito, com o exploit internamente batizado de “smack” e usado para implantar o Predator contra figuras políticas e alvos da sociedade civil. Pesquisadores apontam que o JSKit e partes da cadeia vêm sendo reutilizados desde 2021 por múltiplos fornecedores e grupos apoiados pelos Estados, mostrando um mercado ativo de componentes de exploração compartilhados.
Mitigações para usuários de iOS
- Manter o iOS totalmente atualizado (bugs foram corrigidos em versões como iOS 16.7 e 17.0.1) e aplicar patches assim que liberados.
- Evite clicar em links recebidos de canais não selecionados, mesmo em aplicativos criptografados, principalmente para perfis de alto risco (jornalistas, ativistas, políticos).
- Usando configurações reforçadas de privacidade, revise perfis de configuração instalados e, para alvos de alto risco, considere redefinir completamente o dispositivo e rotações periódicas, conforme orientações de equipes de segurança especializadas.
