Исследователи из компании Lookout обнаружили iOS-версию трояна Exodus, снабженную легитимным сертификатом разработчика Apple. Согласно их докладу в преддверии конференции SAS-2019, зловред распространялся через фишинговые страницы, имитировавшие сайты мобильных провайдеров Италии и Туркменистана.
Впервые об Android-шпионе Exodus рассказали эксперты Security Without Borders. Его создатели за нескольких лет загрузили в Google Play в общей сложности 25 версий программы, маскируя ее под приложения итальянских сотовых компаний. По мнению специалистов, троян использовался для целенаправленных заражений и не предназначался для массовых кампаний.
Приложения в Google Play выполняли роль загрузчика, который скачивал на аппараты жертв основной компонент.
Список вредоносных функций Exodus включал:
Отслеживание телефонных разговоров и коммуникаций жертвы в соцсетях;
Создание снимков экрана;
Взлом устройства через вариант эксплойта Dirty COW;
Скрытый удаленный доступ через оригинальный сценарий командной строки.
Версия Exodus для iOS-устройств работает по схожему принципу, но с меньшим размахом. В частности, ее возможности для шпионажа ограничены чтением календаря, контактов и системных данных, доступом к «Фото», геолокации и голосовым заметкам. Исследователи также нашли в коде функцию скрытой аудиозаписи, которая запускается, если пользователь откроет отправленное преступником push-уведомление.
Собранные данные зловред отправляет на командный узел через HTTP-запросы PUT. Именно по совпадению коммуникационной инфраструктуры исследователи и установили родство этого трояна с Android-версией Exodus.
Как отмечалось выше, злоумышленники заражали жертв через фишинговые страницы. Они воспользовались программой Apple Developer Enterprise, позволяющей организациям распространять собственные iOS-приложения для внутреннего использования. Все программы на таких площадках заверяются специальным сертификатом с указанием юридического лица, на которое он выпущен. В случае iOS-Exodus в этих данных значится Connexxa S.R.L. — один из аффилиатов компании eSurv, подозреваемой в разработке Android-шпиона.
Специалисты поделились своими открытиями с сотрудниками компании Apple, которые отозвали соответствующие сертификаты. Таким образом было заблокировано вредоносное приложение на пораженных устройствах и запрещены новые загрузки.
Источник: https://threatpost.ru/exodus-comes-to-ios-oh-god-oh-no-users-are-wearing-airpods/32191/