De tot nu toe bekende Exodus spyware die geplaagd Google Play Store en respectievelijk Android-apparaten, is nu uitgerust met een versie voor iOS.
Volgens Lookout onderzoekers, de iOS tegenhanger is minder geavanceerd dan de Android-versie, en is niet gedetecteerd in de Apple App Store. Niettemin, dit geval benadrukt het kraken stand van Apple's privacy.
Meet Exodus Spyware: van Android naar iOS
Lookout security onderzoekers kwam “een geavanceerde Android surveillanceware middel". De spyware tool is het meest waarschijnlijk gemaakt voor de legale onderschepping markt, en het is in een ontwikkeling staat voor ten minste vijf jaar, drie stadia van uitvoering.
De eerste fase is een klein dropper, dan komt de tweede grote lading met meerdere binaries die het grootste deel van de surveillance-mogelijkheden. Het laatste derde fase maakt gebruik van de zogenaamde DirtyCOW exploiteren, CVE-2016-5195, root verkrijgen.
Opgemerkt dient te worden dat de veiligheid onderzoekers van Security Without Borders gedetecteerd 25 verschillende Exodus geïnfecteerde apps die op de Play Store zijn geüpload had in de afgelopen twee jaar.
DirtyCow a.k.a. CVE-2016-5195
Wist u dat de fout is gelegen is in de kernel en Linux-distributies voor bijna tien jaar. Het lek waardoor aanvallers root privileges te verkrijgen via een race condition bug en vervolgens krijgen write-toegang tot read-only memory.
De kwetsbaarheid werd gepatcht in zowel de kernel en Linux in oktober, 2016. Echter, Android-apparaten moest wachten op een fix, en helaas zijn er exploiteren kits gebruik te maken van de problematiek in het wild.
Exodus iOS Variant: sommige Details
Analyse van deze monsters Android geleid tot de ontdekking van infrastructuur die verschillende monsters van een IOS poort bevatte, Pas op zei in haar rapport. De Exodus spyware is verspreid met de hulp van phishing-websites die de Italiaanse en Turkmenistani mobiele providers geïmiteerd.
Hoe heeft aanvallers Exodus leveren aan iOS gebruikers buiten Apple's app store?
Ze maakten gebruik van de onderneming enterprise provisioning systeem:
De Apple Developer Enterprise-programma is bedoeld om organisaties in staat stellen om eigen distribueren, in-house apps aan hun werknemers zonder dat de iOS App Store gebruiken. Een bedrijf kan de toegang tot dit programma krijgen alleen op voorwaarde dat ze voldoen aan de eisen die door Apple vastgesteld. Het is niet gebruikelijk om dit programma te gebruiken om malware te verspreiden, hoewel er gevallen uit het verleden waarbij malware auteurs niet hebben gedaan zijn geweest.
De phishing-sites die in deze campagnes werden ingezet op iOS-gebruikers een link naar een “distributie manifest”Welke metadata uit de toepassingsnaam ondergebracht, versie, icoon, en URL voor het bestand IPA.
Naar buiten app store verdelen, een IPA-pakket moet een mobiele provisioning profiel met een verklaring van een onderneming bevatten. Al deze pakketten gebruikt provisioning profielen met de distributie certificaten in verband met het bedrijf Connexxa S.R.L.
Voor wat betreft de mogelijkheden, de iOS-versie van Exodus was beperkt tot enkele mogelijkheden, zoals het verzamelen van contacten, foto's, video, audio-opnamen, GPS-informatie, en apparaatlocatie. De spyware kan ook het uitvoeren van on-demand audio-opname, maar was niet zo verfijnd als zijn tegenhanger Android die wortel controle geïnfecteerde inrichtingen kunnen krijgen.
Niettemin, Er zijn veel overeenkomsten tussen de iOS en Android Exodus versies. Het is interessant dat de IOS variant geoogste gegevens geüpload naar dezelfde exfiltratie server en gebruikt een overeenkomstig protocol.
Het beveiligingsbedrijf kwam in contact met Apple en deelden hun ontdekkingen, en Apple ingetrokken de getroffen certificaten. Dientengevolge, geen nieuwe exemplaren van deze app kan worden geïnstalleerd op iOS-apparaten en bestaande installaties kan niet meer worden uitgevoerd, concludeerden de onderzoekers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: