SAS 2019: se ha encontrado Exodus Spyware dirigido a usuarios de Apple iOS

Iniciado por Dragora, Abril 09, 2019, 06:49:12 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



La herramienta de vigilancia fue firmada con certificados legítimos de desarrollador de Apple.

SINGAPUR: el software espía Exodus que se encontró recientemente al acecho en 25 aplicaciones diferentes maliciosas en Google Play se ha trasladado al ecosistema de Apple iOS.

El paquete de vigilancia puede filtrar contactos, tomar grabaciones de audio y fotos, rastrear datos de ubicación y más en dispositivos móviles. A principios de este mes, llegó la noticia de que Google había iniciado una serie de aplicaciones repletas de Exodus .

Según Lookout, resulta que las versiones de iOS estaban disponibles fuera de la App Store, a través de sitios de phishing que imitan a los operadores móviles italianos y turcomanos. Estos son notables en el sentido de que abusaron del programa Apple Developer Enterprise.

Exodus - una salida masiva de información personal

Según Lookout y otras investigaciones de Security Without Borders, el software espía parece haber estado en desarrollo durante al menos cinco años. Es un asunto de tres etapas, que comienza con un gotero liviano que luego recupera una gran carga útil de la segunda etapa que contiene múltiples binarios con la mayoría de los productos de espionaje que se encuentran dentro de ellos. Finalmente, una tercera etapa generalmente utiliza el exploit de COD sucio (CVE20165195) para obtener privilegios de root en un dispositivo específico.

Al profundizar en los detalles técnicos, Lookout vio evidencia de una operación bastante sofisticada, lo que sugiere que puede haberse comercializado inicialmente como un paquete legítimo para el gobierno o los sectores de aplicación de la ley.

"Varios detalles técnicos indicaron que el software fue probablemente el producto de un esfuerzo de desarrollo bien financiado y dirigido al mercado de intercepción legal", dijeron los investigadores en un análisis compartido con Threatpost antes de una presentación en la Cumbre de analistas de seguridad (SAS) 2019 . que comienza en Singapur esta semana. "Esto incluía el uso de la fijación de certificados y el cifrado de clave pública para las comunicaciones de comando y control (C2), las georestricciones impuestas por el C2 al entregar la segunda etapa y el conjunto completo y bien implementado de funciones de vigilancia".

El análisis de las muestras de Android llevó a los investigadores a varias muestras de una variante de iOS, que reveló que un examen más detallado se realizó en sitios de phishing inteligentes. Los adversarios falsificaron tanto a Wind Tre SpA, un operador de telecomunicaciones italiano, como a TMCell, el operador móvil estatal en Turkmenistán, para atacar a los usuarios de iPhone, según Lookout.


Abusar de las herramientas de desarrollo empresarial legítimas


Para difundir la aplicación iOS fuera de la App Store oficial, los delincuentes cibernéticos abusaron del sistema de aprovisionamiento empresarial de Apple, lo que les permitió firmar las aplicaciones utilizando certificados legítimos de Apple.

"El programa Apple Developer Enterprise está destinado a permitir que las organizaciones distribuyan aplicaciones propias y propias a sus empleados sin necesidad de usar la tienda de aplicaciones de iOS", explicaron los investigadores de Lookout. "Una empresa puede obtener acceso a este programa solo si cumple con los requisitos establecidos por Apple. "No es común usar este programa para distribuir malware, aunque ha habido casos en los que los autores de malware lo han hecho".

Las aplicaciones en sí mismas encajaban con los sitios de phishing, que pretendían ser aplicaciones de ayuda ofrecidas por los operadores. Les indicaron a los usuarios que "mantengan la aplicación instalada en su dispositivo y se mantengan bajo la cobertura de WiFi para ser contactados por uno de nuestros operadores".

El análisis de Lookout encontró que la variante de iOS es un poco más burda que su contraparte de Android, y carece de la capacidad de explotar las vulnerabilidades del dispositivo. Sin embargo, las aplicaciones aún podían utilizar API documentadas para filtrar contactos, fotos, videos y grabaciones de audio grabadas por el usuario, información del dispositivo y datos de ubicación; y, ofrecía una forma de realizar una grabación de audio remota, aunque esto requería notificaciones automáticas e interacción del usuario.

"Aunque las diferentes versiones de la aplicación varían en estructura, el código malicioso se inicializó en el inicio de la aplicación sin que el usuario lo supiera, y se configuraron varios temporizadores para recopilar y cargar datos periódicamente", según el análisis. "Los datos de carga se pusieron en cola y se transmitieron a través de solicitudes HTTP PUT a un punto final en el C2. Las aplicaciones de iOS aprovechan la misma infraestructura C2 que la versión de Android y utilizan protocolos de comunicaciones similares ".

La buena noticia es que Apple ha revocado los certificados afectados para esta cosecha particular de aplicaciones.

Más enlaces a eSurv


Se cree que Exodus está vinculado a una empresa italiana llamada eSurv, con sede en Catanzaro, en Calabria, Italia. Anuncia públicamente productos como sistemas de gestión de CCTV, drones de vigilancia, sistemas de reconocimiento de placas faciales y de matrícula, y ahora está siendo investigado por las autoridades italianas, según informes de noticias locales.

Los investigadores de Lookout dijeron que habían descubierto evidencia adicional que vinculaba Exodus con eSurv.

"Las primeras versiones de la aplicación de Android usaban una infraestructura que pertenecía a una compañía llamada Connexxa SRL y se firmaron con el nombre de un ingeniero que parece tener capital en Connexxa", según el informe. "El nombre de este ingeniero también está asociado con [eSurv]. "El marketing público de eSurv se centra en el software de videovigilancia y los sistemas de reconocimiento de imágenes, pero hay varias personas que afirman ser investigadores de seguridad móvil que trabajan en la empresa, incluida una que ha declarado públicamente que está desarrollando un agente de vigilancia móvil".

Además, eSurv fue una vez una unidad de negocios de Connexxa. "El software y la marca eSurv se vendieron de Connexxa SRL a eSurv SRL [en 2016]", señaló el análisis.

Y finalmente, cada uno de los sitios de phishing encontrados recientemente contenía enlaces a metadatos como el nombre de la aplicación, la versión, el icono y una URL para el archivo IPA.

"Para ser distribuido fuera de la tienda de aplicaciones, un paquete IPA debe contener un perfil de aprovisionamiento móvil con un certificado de empresa", anotaron los investigadores de Lookout. "Todos estos paquetes utilizaron perfiles de aprovisionamiento con certificados de distribución asociados con la empresa Connexxa SRL"

No se pierda nuestro seminario web gratuito de Threatpost , "Seguridad de datos en la nube", el 24 de abril a las 2 pm ET.

Un panel de expertos se unirá al editor senior de Threatpost, Tara Seals, para discutir cómo bloquear los datos cuando el perímetro de la red tradicional ya no está en su lugar. Discutirán cómo la adopción de servicios en la nube presenta nuevos desafíos de seguridad, incluidas ideas y mejores prácticas para bloquear esta nueva arquitectura; si la seguridad administrada o interna es el camino a seguir; y dimensiones auxiliares, como SD-WAN y IaaS.



Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta