SAS 2019:Exodus Spyware发现针对Apple iOS用户

  • A+
所属分类:未分类

监控工具与合法的Apple开发人员证书签署。

新加坡 - 最近发现潜伏在Google Play上25种不同恶意应用程序中的Exodus间谍软件已移植到Apple iOS生态系统。

监控包可以在移动设备上泄露联系人,录制录音和照片,跟踪位置数据等。 本月早些时候,有消息说Google 已经推出了大量的Exodus-laden应用程序

根据Lookout的说法,事实证明iOS版本已经通过仿冒意大利和土库曼斯坦移动运营商的网络钓鱼网站在App Store之外推出。 其中值得注意的是,他们滥用了Apple Developer Enterprise计划。

根据Lookout和Security Without Borders的其他研究 ,间谍软件似乎已经开发至少五年了。 这是一个三阶段的事情,从一个轻型的滴管开始,然后取出一个大的第二阶段有效载荷,其中包含多个二进制文件,其中大部分间谍物品都在其中。 最后,第三阶段通常使用Dirty COW exploit (CVE20165195)来获取目标设备上的root权限。

在深入研究技术细节时,Lookout看到了相当复杂的操作证据,表明它可能最初作为政府或执法部门的合法包装进行销售。

研究人员在安全分析师峰会(SAS)2019年的一次演讲之前与Threatpost分享的一项分析中表示,“一些技术细节表明该软件可能是资金充足的开发工作的产物,目标是合法的拦截市场。”本周将在新加坡拉开帷幕。 “这些包括使用证书固定和公钥加密进行命令和控制(C2)通信,C2在第二阶段交付时施加的地理限制,以及全面和良好实施的监控功能套件。”

对Android样本的分析使得研究人员得到了一些iOS变体的样本,进一步的检查显示将在聪明的钓鱼网站上提供。 据Lookout称,这些对手欺骗了意大利电信运营商Wind Tre SpA和土库曼斯坦国有移动运营商TMCell,以瞄准iPhone用户。

为了将iOS应用程序扩展到官方App Store之外,网络犯罪分子滥用Apple的企业配置系统,允许他们使用合法的Apple证书对应用程序进行签名。

“Apple Developer Enterprise计划旨在允许组织向其员工分发专有的内部应用,而无需使用iOS App Store,”Lookout研究人员解释道。 “只有符合Apple规定的要求,企业才能访问此计划。 使用此程序分发恶意软件并不常见,尽管过去曾有恶意软件作者这样做过。“

这些应用程序本身与网络钓鱼网站相吻合,声称是运营商提供的帮助应用程序。 他们指示用户“将应用程序安装在您的设备上并保持在WiFi覆盖范围内,以便我们的操作员联系。”

Lookout的分析发现iOS变体比Android版本稍微粗糙,并且缺乏利用设备漏洞的能力。 但是,应用程序仍然能够使用文档化的API来泄露联系人,照片,视频和用户录制的录音,设备信息和位置数据; 并且,它提供了一种执行远程录音的方法,尽管这需要推送通知和用户交互。

“尽管应用程序的不同版本在结构上有所不同,但是在应用程序启动时初始化了恶意代码而用户不知情,并且设置了许多定时器来定期收集和上传数据,”该分析表明。 “上传数据已排队并通过HTTP PUT请求传输到C2上的端点。 iOS应用程序利用与Android版本相同的C2基础架构,并使用类似的通信协议。“

好消息是Apple已经撤销了针对这一特定应用程序的受影响证书。

Exodus被认为与一家名为eSurv的意大利公司有关,该公司位于意大利卡拉布里亚的Catanzaro。 据当地新闻报道,它公开宣传CCTV管理系统,监控无人机,面部和车牌识别系统等产品,目前正在接受意大利当局的调查

Lookout的研究人员表示,他们已经发现了将Exodus与eSurv联系起来的进一步证据。

报告称,“Android应用程序的早期版本使用了属于一家名为Connexxa SRL的公司的基础设施,并使用似乎在Connexxa持有股权的工程师的名字签名。” “这位工程师的名字也与[eSurv]有关。 eSurv的公共营销以视频监控软件和图像识别系统为中心,但有许多人声称是在公司工作的移动安全研究人员,包括公开声称正在开发移动监控代理的人。“

此外,eSurv曾经是Connexxa的业务部门。 “eSurv软件和品牌从Connexxa SRL出售给eSurv SRL [2016年],”分析指出。

最后,每个最近发现的网络钓鱼站点都包含元数据的链接,例如应用程序名称,版本,图标和IPA文件的URL。

“要在应用商店外部分发,IPA包必须包含带有企业证书的移动配置文件,”Lookout的研究人员指出。 “所有这些软件包都使用配置文件以及与Connexxa SRL公司相关的分发证书”

不要错过 4月24日美国东部时间下午2点的 免费 威胁邮件网络研讨会 “云中的数据安全”。

一个专家小组将加入Threatpost高级编辑Tara Seals,讨论 如何在传统网络边界不再存在时锁定数据。 他们将讨论云服务的采用如何带来新的安全挑战,包括锁定这种新架构的想法和最佳实践; 管理或内部安全是否可行; 和辅助维度,如SD-WAN和IaaS。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: