返回

发现针对苹果iOS用户的“Exodus”监控恶意软件

发布时间:2022-11-27 19:43:59 757
# ios# 服务器# 漏洞# 信息# 黑客
ios malware protection


配音离去,正如该恶意软件所称,LookOut的安全研究人员在分析去年发现的Android样本时发现了该间谍软件的iOS版本。

与安卓版本不同,iOS版的《出埃及记》主要通过模仿意大利和土库曼斯坦移动运营商的钓鱼网站在官方应用商店之外发布。
 
由于苹果限制在其官方应用商店之外直接安装应用程序,iOS版的Exodus正在滥用Apple Developer Enterprise程序,该程序允许企业直接向员工分发自己的内部应用程序,而无需使用iOS应用商店。

研究人员在一篇博客文章中说:“每个钓鱼网站都包含指向分发清单的链接,其中包含应用程序名称、版本、图标和IPA文件的URL等元数据”。

“所有这些软件包都使用了与Connexa S.R.L.公司关联的分发证书的配置文件”。

尽管iOS版本没有Android版本复杂,但间谍软件仍然能够从目标iPhone设备中过滤信息,包括联系人、录音、照片、视频、GPS位置和设备信息。

然后,被盗数据通过HTTP PUT请求传输到攻击者控制的命令和控制服务器上的一个端点,该服务器与Android版本的CnC基础设施相同,并使用类似的通信协议。
ios malware apple enterprise developer program

一些技术细节表明,外逃“可能是资金充足的发展努力的产物”,目的是针对政府或执法部门。
研究人员说:“这些措施包括在指挥与控制系统通信中使用证书固定和公钥加密、指挥与控制系统在交付第二阶段时施加的地理限制,以及全面且实施良好的监控功能套件”。
《出埃及记》由总部位于意大利的Connexxa S.R.L.公司开发,上个月底,无国界安全组织(Security Without Borders)的白帽黑客在谷歌Play Store上发现了近25种伪装成服务应用程序的应用程序,这家科技巨头在接到通知后将其删除。

在至少五年的开发过程中,Android的外流通常包括三个不同的阶段。首先,有一个小滴管可以收集目标设备的基本识别信息,比如IMEI和电话号码。
 
第二阶段由多个二进制软件包组成,这些软件包部署了一套实施良好的监控功能。

最后,第三阶段使用臭名昭著的DirtyCOW漏洞(CVE-2016-5195)获得对受感染手机的根控制。一旦成功安装,Exodus可以进行大量监视。

安卓系统的变种还可以在被感染的设备上运行,即使屏幕关闭。

虽然安卓版本的Exodus可能感染了“几百台,如果不是一千台或更多”的设备,但目前尚不清楚有多少iPhone感染了iOS Exodus变体。

在收到Lookout研究人员的间谍软件通知后,苹果撤销了企业证书,防止恶意应用安装在新iPhone上,并在受感染的设备上运行。

这是去年一家意大利软件公司第二次被发现分发间谍软件。去年早些时候,另一家未透露姓名的意大利公司被发现分销Skygofree“这是一个危险的安卓间谍工具,黑客可以远程完全控制受感染的设备。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线