Se encontró malware de vigilancia ‘Exodus’ dirigido a usuarios de Apple iOS

Protección contra software malicioso iOS

Investigadores de seguridad cibernética han descubierto una versión iOS de la poderosa aplicación de vigilancia de teléfonos móviles que inicialmente estaba dirigida a dispositivos Android a través de aplicaciones en la tienda oficial de Google Play.

Doblado éxodocomo se llama el malware, los investigadores de seguridad de LookOut descubrieron la versión iOS del spyware durante su análisis de las muestras de Android que encontraron el año pasado.

A diferencia de su variante de Android, la versión iOS de Exodus se ha distribuido fuera de la App Store oficial, principalmente a través de sitios web de phishing que imitan a los operadores de telefonía móvil italianos y turcomanos.

Dado que Apple restringe la instalación directa de aplicaciones fuera de su tienda oficial de aplicaciones, la versión de iOS de Exodus abusa del programa Apple Developer Enterprise, que permite a las empresas distribuir sus propias aplicaciones internas directamente a sus empleados sin necesidad de utilizar la tienda de aplicaciones de iOS. .

«Cada uno de los sitios de phishing contenía enlaces a un manifiesto de distribución, que contenía metadatos como el nombre de la aplicación, la versión, el ícono y una URL para el archivo IPA», dicen los investigadores en una publicación de blog.

“Todos estos paquetes utilizaban perfiles de aprovisionamiento con certificados de distribución asociados a la empresa Connexxa SRL”

Aunque la variante de iOS es menos sofisticada que su contraparte de Android, el software espía aún puede filtrar información de dispositivos iPhone específicos, incluidos contactos, grabaciones de audio, fotos, videos, ubicación GPS e información del dispositivo.

Los datos robados luego se transmiten a través de solicitudes HTTP PUT a un punto final en el servidor de comando y control controlado por los atacantes, que es la misma infraestructura CnC que la versión de Android y utiliza protocolos de comunicación similares.

ios malware apple programa de desarrollo empresarial

Varios detalles técnicos indicaron que Exodus era «probablemente el producto de un esfuerzo de desarrollo bien financiado» y tenía como objetivo los sectores gubernamentales o policiales.

«Estos incluyeron el uso de la fijación de certificados y el cifrado de clave pública para las comunicaciones C2, las restricciones geográficas establecidas por el C2 al entregar la segunda etapa y el conjunto integral y bien implementado de funciones de vigilancia», dicen los investigadores.

Desarrollado por la empresa con sede en Italia llamada Connexxa SRL, Exodus salió a la luz a fines del mes pasado cuando los piratas informáticos de Security Without Borders descubrieron casi 25 aplicaciones diferentes disfrazadas de aplicaciones de servicio en Google Play Store, que el gigante tecnológico eliminó después de recibir una notificación.

En desarrollo durante al menos cinco años, Exodus para Android generalmente consta de tres etapas distintas. Primero, hay un pequeño cuentagotas que recopila información de identificación básica, como el IMEI y el número de teléfono, sobre el dispositivo objetivo.

La segunda etapa consta de múltiples paquetes binarios que implementan un conjunto bien implementado de funcionalidades de vigilancia.

Finalmente, la tercera etapa utiliza el infame exploit DirtyCOW (CVE-2016-5195) para obtener control de raíz sobre los teléfonos infectados. Una vez instalado con éxito, Exodus puede llevar a cabo una gran cantidad de vigilancia.

La variante de Android también está diseñada para seguir ejecutándose en el dispositivo infectado incluso cuando la pantalla está apagada.

Si bien la versión de Android de Exodus había potencialmente infectado «varios cientos, si no mil o más» dispositivos, no está claro cuántos iPhones fueron infectados por la variante de iOS Exodus.

Después de que los investigadores de Lookout le notificaran sobre el software espía, Apple revocó el certificado empresarial, lo que impidió que se instalaran aplicaciones maliciosas en nuevos iPhone y se ejecutaran en dispositivos infectados.

Este es el segundo caso en el último año en que una empresa de software italiana ha sido sorprendida distribuyendo spyware. A principios del año pasado, se descubrió que otra empresa italiana no revelada distribuía «skygofree«una peligrosa herramienta de espionaje de Android que brinda a los piratas informáticos el control total de los dispositivos infectados de forma remota.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática