Den tidligere kendt Mosebog spyware, som plagede Google Play Store og henholdsvis Android-enheder, er nu udstyret med en version til iOS.
Ifølge Lookout forskere, iOS modstykke er mindre sofistikeret end den Android-version, og er ikke blevet påvist i Apple App Store. Ikke desto mindre, denne sag understreger revner tilstand af Apples privatliv.
Mød Exodus Spyware: fra Android til iOS
Lookout sikkerhed forskere kom på tværs ”en sofistikeret Android surveillanceware agent". Den spyware værktøj blev sandsynligvis skabt til den lovlige opfange markedet, og det har været i en udvikling tilstand i mindst fem år, med tre faser af udførelse.
Det første trin er en lille pipette, så kommer den anden store nyttelast indeholder multiple binære filer, der har de fleste af tilsynskapaciteten. Den endelige tredje fase anvender såkaldte DirtyCOW udnytte, CVE-2016-5195, at opnå root.
Det skal bemærkes, at sikkerhedseksperter fra Security Uden Grænser opdaget 25 forskellige Exodus-inficerede apps, der var blevet uploadet på Play Butik i de seneste to år.
DirtyCow a.k.a. CVE-2016-5195
Vidste du, at fejlen har været placeret i kernen samt Linux-distributioner i næsten ti år. Den sikkerhedsfejl kan tillade angribere at opnå root-rettigheder via en race condition bug og derefter få skrive-adgang til read-only memory.
Sårbarheden blev lappet i både kernen og Linux i oktober, 2016. Men, Android-enheder måtte vente en rettelse, og desværre har der været udnytte kits udnytte spørgsmålet i naturen.
Exodus iOS Variant: Nogle Detaljer
Analyse af disse Android prøver førte til opdagelsen af infrastruktur, som indeholdt flere prøver af en iOS port, Pas på sagde i deres rapport. Den Mosebog spyware er blevet spredt ved hjælp af phishing-websteder, der efterlignede italienske og Turkmenistani mobile tjenester.
Hvordan har angriberne Mosebog levere til iOS brugere uden Apples App Store?
De benyttede sig af virksomhedens enterprise provisioning-system:
Apple Developer Enterprise Programmet har til formål at gøre det muligt for organisationer at distribuere proprietære, in-house apps til deres medarbejdere uden at skulle bruge iOS App Store. En virksomhed kan få adgang til dette program kun hvis de opfylder kravene af Apple. Det er ikke almindeligt at bruge dette program til at distribuere malware, selv om der har været tidligere tilfælde, hvor malware forfattere har gjort det.
De phishing-websteder, der blev indsat i disse kampagner på iOS brugere indeholdt links til en ”fordeling manifest”Der indkvarteret metadata, der består af navnet ansøgning, udgave, ikon, og URL til IPA-fil.
Fordeles uden for App Store, en IPA-pakke skal indeholde en mobil provisioning profil med en virksomheds certifikat. Alle disse pakker brugte provisioning profiler med distributions- certifikater, der er forbundet med virksomheden Connexxa S.r.l.
Som for sine evner, iOS versionen af Exodus var begrænset til flere funktioner som indsamling kontakter, billeder, videoer, lydoptagelser, GPS-oplysninger, og enhedens placering. Spyware kan også udføre on-demand lydoptagelse, men var ikke så sofistikeret som sin Android modstykke, som kunne få rod kontrol over inficerede enheder.
Ikke desto mindre, der er en masse af ligheder mellem iOS og Android Exodus versioner. Det er interessant at bemærke, at iOS-varianten uploadet høstede data til den samme udsivning serveren og udnyttet en tilsvarende protokol.
Sikkerheden Virksomheden kom i kontakt med Apple og delte deres opdagelser, og Apple tilbagekaldte de berørte certifikater. Som et resultat, ingen nye tilfælde af denne app kan installeres på iOS-enheder og eksisterende anlæg kan ikke længere køre, forskerne konkluderede.