Blog


Variante del Spyware Exodus descubierta para iOS

 

Una versión de iOS del spyware Exodus fue encontrada por los researchers de LookOut siendo distribuida fuera de la App Store, utilizando en su lugar sitios de phishing que fingen ser operadores de telefonía móvil de Italia y Turkmekistán.

 

Distribución

Ya que Apple restringe la instalación de aplicaciones fuera de su tienda oficial, la variante de Exodus para iOS abusa del programa Apple Developer Enterprise que permite a las empresas distribuir sus aplicaciones internas directamente a sus empleados sin necesidad de hacerlo a través de la App Store de iOS.

Los sitios de phishing poseen enlaces a un manifiesto de distribución que contenía la metadata de la aplicación y un enlace al archivo IPA. Estos paquetes utilizaban perfiles de aprovisionamiento con certificados de distribución asociados con la compañía Connexxa S.R.L. según reportaron los investigadores.

 

Funcionamiento 

Si bien esta variante resulta ser menos refinada que la versión de Android ya que no parece descargar ni utilizar exploits, sigue siendo capaz de obtener información de los dispositivos afectados, incluyendo: contactos, grabaciones de audio, fotos, videos, información del dispositivo, entre otros.

La información exfiltrada es transmitida a través de requests HTTP PUT a un equipo controlado por la Command & Control de los atacantes, cuya infraestructura es al igual que la versión de Android e incluso utiliza protocolos de comunicación similares.

La variante de Android del spyware, por su parte, poseía tres fases bien distinguidas:

 

  • Un dropper recolecta información básica acerca del dispositivo.

     

  • Diferentes binarios despliegan una serie de funcionalidades de espionaje.

     

  • Se utiliza el exploit DirtyCOW para obtener privilegios de root sobre el dispositivo.

 

Tras ser notificado del spyware por los researchers de LookOut, Apple removió el certificado de la empresa evitando posteriores instalaciones del malware y su ejecución en dispositivos que ya se encontraban infectados. 


Más información:

Reporte de Security Without Borders (Variante de Android)

Reporte de LookOut (Variantes de Android e iOS)