Il già noto spyware Exodus che afflitto Google Play Store e dispositivi Android, rispettivamente,, è ora dotato di una versione per IOS.
Secondo i ricercatori Lookout, la controparte iOS è meno sofisticato rispetto alla versione di Android, e non è stato rilevato in Apple App Store. Ciò nonostante, questo caso mette in evidenza lo stato di cracking della privacy di Apple.
Incontra Exodus Spyware: da Android a iOS
ricercatori di sicurezza Lookout sono imbattuto in “un sofisticato agente surveillanceware Android". Lo strumento spyware è stato probabilmente creato per il mercato intercettazione legale, ed è stato in uno stato di sviluppo per almeno cinque anni, con tre fasi di esecuzione.
La prima fase è un piccolo contagocce, poi arriva il secondo grande payload contenente più binari che hanno la maggior parte delle capacità di sorveglianza. La terza fase finale utilizza il cosiddetto DirtyCOW exploit, CVE-2016-5195, avere radice.
Va notato che i ricercatori di sicurezza di sicurezza senza frontiere rilevati 25 diverse applicazioni Exodus-infetti che erano stati caricati sul Play Store negli ultimi due anni.
DirtyCow a.k.a. CVE-2016-5195
Lo sapevate che il difetto è stato localizzato nel kernel e le distribuzioni Linux per quasi dieci anni. La falla di sicurezza potrebbe consentire agli aggressori di ottenere i privilegi di root tramite una condizione di competizione bug e quindi ottenere l'accesso in scrittura a memoria di sola lettura.
La vulnerabilità è stata patch nel kernel di Linux e nel mese di ottobre, 2016. Tuttavia, dispositivi Android hanno dovuto aspettare per una correzione, e purtroppo ci sono stati sfruttano kit sfruttando la questione in natura.
Esodo iOS Variante: alcuni dettagli
L'analisi di questi campioni di Android ha portato alla scoperta di infrastrutture che conteneva diversi campioni di una porta iOS, Attenzione detto nel loro rapporto. Lo spyware Exodus è stato diffuso con l'aiuto di siti web di phishing che imitava operatori di telefonia mobile italiani e Turkmenistani.
Come ha fatto attaccanti Esodo fornire agli utenti iOS di fuori App Store di Apple?
Hanno approfittato del sistema di impresa di provisioning della società:
Il programma per gli sviluppatori di Apple Enterprise ha lo scopo di consentire alle organizzazioni di distribuire proprietaria, applicazioni in-house per i loro dipendenti, senza la necessità di utilizzare l'iOS App Store. Un business in grado di ottenere l'accesso a questo programma fornito solo che soddisfino i requisiti stabiliti da Apple. Non è comune l'uso di questo programma per distribuire malware, anche se ci sono stati casi in cui negli ultimi autori di malware hanno fatto in modo.
I siti di phishing che sono stati distribuiti in queste campagne sugli utenti iOS contenevano link ad una “manifesti di distribuzione”Che ha ospitato i metadati costituito dal nome dell'applicazione, versione, icona, e l'URL del file IPA.
Per essere distribuito al di fuori della app store, un pacchetto IPA deve contenere un profilo di provisioning cellulare con il certificato di un'impresa. Tutti questi pacchetti utilizzati profili di provisioning con i certificati di distribuzione associati con l'azienda Connexxa S.R.L.
Per quanto riguarda le sue capacità, la versione iOS di Exodus è stato limitato a diverse funzionalità come la raccolta di contatti, foto, video, registrazioni audio, informazioni GPS, e la posizione del dispositivo. Lo spyware potrebbe anche effettuare la registrazione audio on-demand, ma non era così sofisticata come la sua controparte Android che potrebbe ottenere il controllo radice di dispositivi infetti.
Ciò nonostante, ci sono un sacco di somiglianze tra le versioni iOS e Android Exodus. E 'interessante notare che la variante iOS caricato i dati raccolti sullo stesso server exfiltration e utilizzato un protocollo simile.
La società di sicurezza si mise in contatto con Apple e condiviso le loro scoperte, e Apple ha revocato i certificati colpite. Di conseguenza, Non ci sono nuovi casi di questa applicazione può essere installato su dispositivi iOS e impianti esistenti non possono più essere eseguiti, i ricercatori hanno concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: