Inicio / Información Util / Se encontró software malicioso de vigilancia ‘Exodus’ dirigido a usuarios de Apple iOS

Se encontró software malicioso de vigilancia ‘Exodus’ dirigido a usuarios de Apple iOS

Los investigadores de ciberseguridad han descubierto una versión para iOS de la potente aplicación de vigilancia de teléfonos móviles que inicialmente estaba dirigida a dispositivos Android a través de aplicaciones en la tienda oficial de Google Play.

Apodada Exodus , como se llama el malware, los investigadores de seguridad de LookOut descubrieron la versión iOS del spyware durante el análisis de las muestras de Android que habían encontrado el año pasado.

A diferencia de su variante de Android, la versión para iOS de Exodus se ha distribuido fuera de la App Store oficial, principalmente a través de sitios web de phishing que imitan a los operadores móviles italianos y turcomanos.

Dado que Apple restringe la instalación directa de aplicaciones fuera de su tienda oficial de aplicaciones, la versión para iOS de Exodus está abusando del programa Apple Developer Enterprise, que permite a las empresas distribuir sus propias aplicaciones internas directamente a sus empleados sin necesidad de usar la App Store de iOS. .

“Cada uno de los sitios de phishing contenía enlaces a un manifiesto de distribución, que contenía metadatos como el nombre de la aplicación, la versión, el icono y una URL para el archivo IPA”, dicen los investigadores en una publicación del blog .

“Todos estos paquetes utilizaron perfiles de aprovisionamiento con certificados de distribución asociados con la empresa Connexxa SRL”

Aunque la variante de iOS es menos sofisticada que su contraparte de Android, el spyware aún puede ser capaz de filtrar información de dispositivos iPhone específicos, como contactos, grabaciones de audio, fotos, videos, ubicación GPS e información del dispositivo.

Los datos robados se transmiten luego a través de solicitudes HTTP PUT a un punto final en el servidor de comando y control controlado por los atacantes, que es la misma infraestructura CnC que la versión de Android y utiliza protocolos de comunicaciones similares.

IOS malware Apple Enterprise Developer programa

Varios detalles técnicos indicaron que Exodus era “probablemente el producto de un esfuerzo de desarrollo bien financiado” y apuntaba a los sectores gubernamentales o de aplicación de la ley.

“Estos incluyen el uso de la fijación de certificados y el cifrado de clave pública para las comunicaciones C2, las restricciones geográficas impuestas por el C2 al entregar la segunda etapa y el conjunto completo y bien implementado de funciones de vigilancia”, dicen los investigadores.

Desarrollado por la empresa con sede en Italia llamada Connexxa SRL, Exodus salió a la luz el mes pasado cuando White hackers de Security Without Borders descubrieron casi 25 aplicaciones diferentes disfrazadas de aplicaciones de servicio en Google Play Store, que el gigante de la tecnología eliminó luego de ser notificado.

En desarrollo durante al menos cinco años, Exodus para Android generalmente consta de tres etapas distintas. Primero, hay un pequeño cuentagotas que recopila información de identificación básica, como el IMEI y el número de teléfono, sobre el dispositivo seleccionado.

 

 

Este fallo en MikroTik RouterOS puede hacer que tu router se bloquee y reinicie

 

 

 

La segunda etapa consta de varios paquetes binarios que implementan un conjunto bien implementado de funcionalidades de vigilancia.

Finalmente, la tercera etapa utiliza el infame  exploit de DirtyCOW ( CVE-2016-5195 ) para obtener el control de la raíz de los teléfonos infectados. Una vez instalado con éxito, Exodus puede llevar a cabo una gran cantidad de vigilancia.

La variante de Android también está diseñada para seguir ejecutándose en el dispositivo infectado incluso cuando la pantalla está apagada.

Si bien la versión para Android de Exodus potencialmente infectó “varios cientos, si no mil o más” dispositivos, no está claro cuántos iPhones fueron infectados por la variante de iOS Exodus.

Después de que los investigadores de Lookout notificaron el spyware, Apple revocó el certificado de empresa, evitando que las aplicaciones maliciosas se instalen en nuevos iPhones y se ejecuten en dispositivos infectados.

Esta es la segunda instancia del año pasado cuando una compañía de software italiana ha sido sorprendida distribuyendo software espía. A principios del año pasado, otra empresa italiana no revelada fue encontrada distribuyendo ” Skygofree ” , una peligrosa herramienta de espionaje de Android que les da a los piratas informáticos el control total de los dispositivos infectados de forma remota.


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: thehackernews

Vea También

B0r0nt0K Ransomware quiere un rescate de $ 75,000, infecta servidores de Linux

Un nuevo ransomware llamado B0r0nt0K está encriptando los sitios web de las víctimas y exigiendo …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.