Esodo iOS Spyware - Che capacità di sorveglianza ce l'ha?
CYBER NEWS

Esodo iOS Spyware – Che capacità di sorveglianza ce l'ha?


Il già noto spyware Exodus che afflitto Google Play Store e dispositivi Android, rispettivamente,, è ora dotato di una versione per IOS.

Secondo i ricercatori Lookout, la controparte iOS è meno sofisticato rispetto alla versione di Android, e non è stato rilevato in Apple App Store. Ciò nonostante, questo caso mette in evidenza lo stato di cracking della privacy di Apple.




Incontra Exodus Spyware: da Android a iOS

ricercatori di sicurezza Lookout sono imbattuto in “un sofisticato agente surveillanceware Android". Lo strumento spyware è stato probabilmente creato per il mercato intercettazione legale, ed è stato in uno stato di sviluppo per almeno cinque anni, con tre fasi di esecuzione.

La prima fase è un piccolo contagocce, poi arriva il secondo grande payload contenente più binari che hanno la maggior parte delle capacità di sorveglianza. La terza fase finale utilizza il cosiddetto DirtyCOW exploit, CVE-2016-5195, avere radice.

Va notato che i ricercatori di sicurezza di sicurezza senza frontiere rilevati 25 diverse applicazioni Exodus-infetti che erano stati caricati sul Play Store negli ultimi due anni.

DirtyCow a.k.a. CVE-2016-5195

Correlata: CVE-2016-5195, Un sacco di difetti fisso nel dicembre del Bollettino di Android.

Lo sapevate che il difetto è stato localizzato nel kernel e le distribuzioni Linux per quasi dieci anni. La falla di sicurezza potrebbe consentire agli aggressori di ottenere i privilegi di root tramite una condizione di competizione bug e quindi ottenere l'accesso in scrittura a memoria di sola lettura.

La vulnerabilità è stata patch nel kernel di Linux e nel mese di ottobre, 2016. Tuttavia, dispositivi Android hanno dovuto aspettare per una correzione, e purtroppo ci sono stati sfruttano kit sfruttando la questione in natura.

Esodo iOS Variante: alcuni dettagli

L'analisi di questi campioni di Android ha portato alla scoperta di infrastrutture che conteneva diversi campioni di una porta iOS, Attenzione detto nel loro rapporto. Lo spyware Exodus è stato diffuso con l'aiuto di siti web di phishing che imitava operatori di telefonia mobile italiani e Turkmenistani.

Come ha fatto attaccanti Esodo fornire agli utenti iOS di fuori App Store di Apple?

Hanno approfittato del sistema di impresa di provisioning della società:

Il programma per gli sviluppatori di Apple Enterprise ha lo scopo di consentire alle organizzazioni di distribuire proprietaria, applicazioni in-house per i loro dipendenti, senza la necessità di utilizzare l'iOS App Store. Un business in grado di ottenere l'accesso a questo programma fornito solo che soddisfino i requisiti stabiliti da Apple. Non è comune l'uso di questo programma per distribuire malware, anche se ci sono stati casi in cui negli ultimi autori di malware hanno fatto in modo.

I siti di phishing che sono stati distribuiti in queste campagne sugli utenti iOS contenevano link ad una “manifesti di distribuzione”Che ha ospitato i metadati costituito dal nome dell'applicazione, versione, icona, e l'URL del file IPA.

Per essere distribuito al di fuori della app store, un pacchetto IPA deve contenere un profilo di provisioning cellulare con il certificato di un'impresa. Tutti questi pacchetti utilizzati profili di provisioning con i certificati di distribuzione associati con l'azienda Connexxa S.R.L.

Per quanto riguarda le sue capacità, la versione iOS di Exodus è stato limitato a diverse funzionalità come la raccolta di contatti, foto, video, registrazioni audio, informazioni GPS, e la posizione del dispositivo. Lo spyware potrebbe anche effettuare la registrazione audio on-demand, ma non era così sofisticata come la sua controparte Android che potrebbe ottenere il controllo radice di dispositivi infetti.

Correlata: iOS Apps Ricco di posizione dei dati Codice monetizzazione.

Ciò nonostante, ci sono un sacco di somiglianze tra le versioni iOS e Android Exodus. E 'interessante notare che la variante iOS caricato i dati raccolti sullo stesso server exfiltration e utilizzato un protocollo simile.

La società di sicurezza si mise in contatto con Apple e condiviso le loro scoperte, e Apple ha revocato i certificati colpite. Di conseguenza, Non ci sono nuovi casi di questa applicazione può essere installato su dispositivi iOS e impianti esistenti non possono più essere eseguiti, i ricercatori hanno concluso.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...