Исследователи из компании Lookout обнаружили iOS-версию шпионской программы Exodus, снабженную легитимным сертификатом разработчика Apple. Согласно их докладу в преддверии конференции SAS-2019, зловред распространялся через поддельные страницы, имитировавшие сайты мобильных провайдеров Италии и Туркменистана.

Впервые об Android-шпионе Exodus рассказали эксперты Security Without Borders. Его создатели за несколько лет загрузили в Google Play в общей сложности 25 версий программы, маскируя ее под приложения итальянских сотовых компаний. По мнению специалистов, зловред использовался для целенаправленных заражений и не предназначался для массовых кампаний.

Приложения в Google Play выполняли роль загрузчика, который скачивал на аппараты жертв основной компонент. Список вредоносных функций Exodus включал:

  • отслеживание телефонных разговоров и коммуникаций жертвы в соцсетях;
  • создание снимков экрана;
  • взлом устройства через вариант эксплойта Dirty COW;
  • скрытый удаленный доступ через обратный шелл.

Версия Exodus для iOS-устройств работает по схожему принципу, но с меньшим размахом. В частности, ее возможности для шпионажа ограничены чтением календаря, контактов и системных данных, доступом к «Фото», геолокации и голосовым заметкам. Исследователи также нашли в коде функцию скрытой аудиозаписи, которая запускается, если пользователь откроет отправленное преступником push-уведомление.

Собранные данные шпион отправляет на командный узел через HTTP-запросы PUT. Именно по совпадению коммуникационной инфраструктуры исследователи и установили родство этого зловреда с Android-версией Exodus.

Как отмечалось выше, злоумышленники заражали жертв через поддельные сайты. Они воспользовались программой Apple Developer Enterprise, позволяющей организациям распространять собственные iOS-приложения для внутреннего использования. Все программы на таких площадках заверяются специальным сертификатом с указанием юридического лица, на которое он выпущен. В случае iOS-Exodus в этих данных значится Connexxa S.R.L. — один из аффилиатов компании eSurv, подозреваемой в разработке Android-шпиона.

Специалисты поделились своими открытиями с сотрудниками компании Apple, которые отозвали соответствующие сертификаты. Таким образом было заблокировано вредоносное приложение на пораженных устройствах и запрещены новые загрузки.

Категории: Аналитика, Вредоносные программы, Главное