O spyware Exodus anteriormente conhecido que atormentado Google Play dispositivos respectivamente Android Store e, agora está equipado com uma versão para iOS.
De acordo com pesquisadores Lookout, a contrapartida iOS é menos sofisticado do que a versão Android, e não foi detectado na Apple App Store. Não obstante, este caso destaca o estado de quebra da privacidade da Apple.
Conheça o Exodus Spyware: de Android para iOS
Pesquisadores de segurança da Lookout descobriram “um sofisticado agente de vigilância Android”. A ferramenta de spyware foi provavelmente criada para o mercado de interceptação legal, e está em estado de desenvolvimento há pelo menos cinco anos, com três estágios de execução.
O primeiro estágio é um pequeno conta-gotas, em seguida, vem a segunda grande carga útil contendo vários binários que têm a maioria dos recursos de vigilância. O terceiro estágio final usa o chamado exploit DirtyCOW, CVE-2016-5195, obter raiz.
Deve-se notar que os pesquisadores de segurança do Security Without Borders detectaram 25 diferentes aplicativos infectados com Exodus que foram enviados para a Play Store nos últimos dois anos.
DirtyCow a.k.a. CVE-2016-5195
Você sabia que a falha foi localizada no kernel, bem como nas distribuições do Linux por quase dez anos?. A falha de segurança pode permitir que atacantes para obter privilégios de root através de um bug condição de corrida e, em seguida, ganhar acesso de gravação para memória só de leitura.
A vulnerabilidade foi corrigida, tanto no kernel e Linux em outubro, 2016. Contudo, dispositivos Android tiveram que esperar por uma correção, e, infelizmente, tem havido explorar kits alavancando a questão em estado selvagem.
Variante Exodus iOS: Alguns detalhes
A análise dessas amostras do Android levou à descoberta de uma infraestrutura que continha várias amostras de uma porta iOS, Tenha cuidado disse em seu relatório. O spyware Exodus foi espalhado com a ajuda de sites de phishing que imitavam as operadoras móveis italianas e turcomenistão.
Como os invasores Exodus entregaram aos usuários iOS fora da loja de aplicativos da Apple?
Eles aproveitaram o sistema de provisionamento empresarial da empresa:
O programa Apple Developer Enterprise destina-se a permitir que as organizações distribuam, aplicativos internos para seus funcionários sem a necessidade de usar a iOS App Store. Uma empresa pode obter acesso a este programa apenas desde que cumpra os requisitos estabelecidos pela Apple. Não é comum usar este programa para distribuir malware, embora tenha havido casos anteriores em que os autores de malware o fizeram.
Os sites de phishing que foram implantados nessas campanhas em usuários iOS continham links para um “manifesto de distribuição”Que acomodou metadados consistindo no nome do aplicativo, versão, ícone, e URL para o arquivo IPA.
Para ser distribuído fora da app store, um pacote IPA deve conter um perfil de provisionamento móvel com um certificado de empresa. Todos esses pacotes usaram perfis de provisionamento com certificados de distribuição associados à empresa Connexxa S.R.L.
Quanto às suas capacidades, a versão iOS do Exodus foi limitada a vários recursos, como coleta de contatos, fotos, vídeos, gravações de áudio, Informação GPS, e localização do dispositivo. O spyware também pode realizar gravações de áudio sob demanda, mas não era tão sofisticado quanto sua contraparte Android, que poderia obter controle de raiz de dispositivos infectados.
Não obstante, existem muitas semelhanças entre as versões iOS e Android Exodus. É interessante notar que a variante do iOS carregou os dados coletados para o mesmo servidor de exfiltração e utilizou um protocolo semelhante.
A empresa de segurança entrou em contato com a Apple e compartilhou suas descobertas, e a Apple revogou os certificados afetados. Como um resultado, nenhuma nova instância deste aplicativo pode ser instalada em dispositivos iOS e as instalações existentes não podem mais ser executadas, os pesquisadores concluíram.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: