Le spyware Exodus précédemment connu qui sévissaient Google Play Store et appareils Android respectivement, est maintenant équipé d'une version pour iOS.
Selon les chercheurs Lookout, la contrepartie iOS est moins sophistiqué que la version Android, et n'a pas été détecté dans l'App Store d'Apple. Cependant, ce cas met en évidence l'état de fissuration de la vie privée d'Apple.
Rencontrez Exodus Spyware: d'Android à iOS
les chercheurs de sécurité Lookout ont rencontré «un agent surveillanceware Android sophistiqué". L'outil logiciel espion a été très probablement créé pour le marché de l'interception légale, et il a été dans un état de développement pendant au moins cinq ans, avec trois étapes de l'exécution.
La première étape est un petit compte-gouttes, puis vient la deuxième grande charge utile contenant plusieurs binaires qui ont la plupart des capacités de surveillance. La troisième étape finale utilise le DirtyCOW soi-disant exploit, CVE-2016-5195, pour obtenir la racine.
Il convient de noter que les chercheurs de sécurité de sécurité sans frontières détectées 25 différentes applications infectées Exodus qui avait été chargé sur le Play Store dans les deux dernières années.
DirtyCow a.k.a. CVE-2016-5195
Saviez-vous que la faille a été localisé dans le noyau ainsi que les distributions Linux depuis presque dix ans. La faille de sécurité pourrait permettre à des attaquants d'obtenir les privilèges root via une condition de course bug puis gagner l'accès en écriture à mémoire en lecture seule.
La vulnérabilité a été patché dans le noyau et Linux en Octobre, 2016. Cependant, les appareils Android ont dû attendre un correctif, et, malheureusement, il y a eu exploitent des kits tirant parti de la question dans la nature.
Exodus iOS Variant: Quelques détails
L'analyse de ces échantillons Android a conduit à la découverte de l'infrastructure qui contenait plusieurs échantillons d'un port iOS, Attention a déclaré dans son rapport. Le logiciel espion de l'Exode a été répandu avec l'aide de sites de phishing qui imitait les opérateurs mobiles italiens et turkmènes.
Comment les attaquants Exodus livrer aux utilisateurs iOS en dehors de l'App Store d'Apple?
Ils ont profité du système d'approvisionnement d'entreprise de la société:
Le programme d'entreprise Apple Developer est destiné à permettre aux entreprises de distribuer propriétaire, en interne des applications à leurs employés sans avoir besoin d'utiliser l'application iOS magasin. Une entreprise peut avoir accès à ce programme ne à condition qu'ils remplissent les exigences fixées par Apple. Il est rare d'utiliser ce programme pour distribuer des logiciels malveillants, bien qu'il y ait eu des cas passés où les auteurs de malwares ont fait.
Les sites de phishing qui ont été déployés dans ces campagnes sur les utilisateurs iOS contenaient des liens vers un «manifeste de distribution» Qui logés métadonnées comprenant le nom de l'application, version, icône, et l'URL du fichier IPA.
Pour être distribué en dehors du magasin d'applications, un ensemble IPA doit contenir un profil de provisionnement mobile avec un certificat d'entreprise. Tous ces paquets utilisés profils d'approvisionnement avec des certificats de distribution associés à la société Connexxa S.R.L.
En ce qui concerne ses capacités, la version iOS de l'Exode a été limitée à plusieurs fonctionnalités telles que la collecte des contacts, Photos, vidéos, enregistrements audio, informations GPS, et l'emplacement de l'appareil. Le logiciel espion peut également effectuer un enregistrement audio sur demande, mais n'a pas été aussi sophistiqué que son homologue Android qui pourrait obtenir le contrôle de la racine des appareils infectés.
Cependant, il y a beaucoup de similitudes entre les iOS et Android versions Exodus. Il est intéressant de noter que la variante iOS téléchargé des données récoltées sur le même serveur exfiltration et a utilisé un protocole similaire.
La société de sécurité a pris contact avec Apple et ont partagé leurs découvertes, et Apple a révoqué les certificats concernés. Par conséquent, aucune nouvelle instance de cette application peuvent être installés sur les appareils iOS et les installations existantes ne peuvent plus être exécutés, les chercheurs ont conclu.