El anteriormente conocido software espía Éxodo, que plagado de Google Play Store y los dispositivos Android, respectivamente, Ahora está equipado con una versión para iOS.
Según los investigadores de Lookout, la contraparte IOS es menos sofisticado que la versión de Android, y no se ha detectado en la App Store de Apple. No obstante, Este caso pone de manifiesto el estado de agrietamiento de privacidad de Apple.
Conoce Éxodo Spyware: desde Android a iOS
los investigadores de seguridad del puesto de observación se encontraron con “un agente surveillanceware Android sofisticada". La herramienta de software espía fue más probable es creado para el mercado de intercepción legal, y que ha estado en un estado de desarrollo durante al menos cinco años, con tres etapas de ejecución.
La primera etapa es un pequeño gotero, luego viene la segunda carga útil grande que contiene múltiples binarios que tienen la mayoría de las capacidades de vigilancia. La tercera etapa final utiliza el llamado DirtyCOW explotar, CVE-2016-5195, para obtener la raíz.
Cabe señalar que los investigadores de seguridad de seguridad sin Fronteras detectados 25 diferentes aplicaciones Exodus infectadas que habían sido cargados en la Play Store en los últimos dos años.
a.k.a DirtyCow. CVE-2016-5195
¿Sabías que la falla ha sido localizado en el núcleo, así como las distribuciones de Linux durante casi diez años. El fallo de seguridad podría permitir a un atacante obtener privilegios de root a través de una condición de carrera insecto y luego ganar acceso de escritura en memoria de sólo lectura.
La vulnerabilidad fue parcheado en tanto el núcleo como Linux en octubre, 2016. Sin embargo, dispositivos Android tuvieron que esperar para una solución, y por desgracia no han sido explotan kits de aprovechamiento de la cuestión en el medio silvestre.
Éxodo iOS Variante: Algunos detalles
El análisis de estas muestras Android condujo al descubrimiento de la infraestructura que contenía varias muestras de un puerto IOS, Estar atento dijo en su informe. El software espía Éxodo se ha extendido con la ayuda de sitios web de phishing que imitaba a los operadores móviles italianos y Turkmenistani.
¿Cómo atacantes Éxodo entregar a los usuarios de iOS fuera de la tienda de aplicaciones de Apple?
Se aprovecharon de sistema de la empresa de aprovisionamiento de la compañía:
El programa de desarrollador de Apple Empresa tiene por objeto permitir a las organizaciones distribuir patentada, aplicaciones internas a sus empleados sin necesidad de utilizar la App Store de iOS. Un negocio puede obtener acceso a este programa sólo siempre que cumplan con los requisitos establecidos por Apple. No es común el uso de este programa para distribuir malware, aunque ha habido casos anteriores en los que los autores de malware han hecho.
Los sitios de phishing que se desplegaron en estas campañas de los usuarios de iOS contenían enlaces a una “manifiesta distribución”, Que alojan los metadatos que consiste en el nombre de la aplicación, versión, icono, y la dirección del archivo IPA.
Para ser distribuidos fuera de la tienda de aplicaciones, un paquete de IPA debe contener un archivo de suministro móvil con un certificado de la empresa. Todos estos paquetes se utilizan perfiles de datos de los certificados de distribución asociados con la empresa Connexxa S.R.L.
En cuanto a sus capacidades, la versión de IOS de Éxodo se limitó a varias capacidades tales como la recolección de contactos, fotos, vídeos, grabaciones de audio, La información del GPS, y la ubicación del dispositivo. El software espía también podría llevar a cabo la grabación de audio bajo demanda, pero no era tan sofisticado como su homólogo de Android que podría obtener el control de la raíz de los dispositivos infectados.
No obstante, hay una gran cantidad de similitudes entre las versiones de iOS y Android Exodus. Es interesante observar que la variante iOS cargan los datos recolectados en el mismo servidor exfiltración y utilizó un protocolo similar.
La compañía de seguridad se puso en contacto con Apple y comparte sus descubrimientos, y Apple revocó los certificados afectados. Como resultado, no hay nuevos casos de esta aplicación se puede instalar en dispositivos iOS y las instalaciones existentes ya no pueden ser ejecutados, los investigadores llegaron a la conclusión.