Das Überwachungstool wurde mit legitimen Apple-Entwicklerzertifikaten signiert.
SINGAPUR- Die Exodus-Spyware, die kürzlich in 25 verschiedenen bösartigen Anwendungen in Google Play gefunden wurde, wurde auf das Apple-OS-Ökosystem portiert.
Das Überwachungspaket kann Kontakte exfiltrieren, Audioaufnahmen und Fotos machen, Standortdaten verfolgen und vieles mehr auf mobilen Geräten. Anfang dieses Monats wurde bekannt, dass Google eine Reihe von mit Exodus beladenen Anwendungen gestartet hat.
Laut Lookout stellte sich heraus, dass iOS-Versionen außerhalb des App Store über Phishing-Websites, die italienische und turkmenische Mobilfunkanbieter imitieren, verfügbar geworden waren. Diese sind insofern bemerkenswert, als sie das Apple Developer Enterprise-Programm missbraucht haben.
Laut Lookout und anderen Untersuchungen von Security Without Borders scheint sich die Spyware seit mindestens fünf Jahren in der Entwicklung zu befinden. Es handelt sich um eine dreistufige Angelegenheit, die mit einem leichten Dropper beginnt, der dann eine große Nutzlast der zweiten Stufe holt, die mehrere Binärdateien enthält, in denen sich die meisten Spionagegüter befinden. In einer dritten Stufe schließlich wird in der Regel der "Dirty COW"-Angriff (CVE20165195) verwendet, um Root-Privilegien auf einem Zielgerät zu erhalten.
Bei der Untersuchung der technischen Details sah Lookout Hinweise auf eine ziemlich ausgeklügelte Operation, die darauf hindeuteten, dass es ursprünglich als legitimes Paket für die Regierung oder die Strafverfolgungsbehörden vermarktet worden sein könnte.
"Mehrere technische Details deuteten darauf hin, dass die Software wahrscheinlich das Produkt einer gut finanzierten Entwicklungsarbeit war und auf den legalen Abhörmarkt abzielte", sagten Forscher in einer Analyse, die sie Threatpost vor einer Präsentation auf dem Sicherheitsanalytiker-Gipfel (SAS) 2019, der diese Woche in Singapur beginnt, mitteilten. "Dazu gehörten die Verwendung der Verschlüsselung mit Zertifikaten und öffentlichen Schlüsseln für die Command-and-Control-Kommunikation (C2), die von der C2 bei der Durchführung der zweiten Stufe auferlegten Einschränkungen und die umfassende und gut implementierte Reihe von Überwachungsfunktionen.
Die Analyse der Android-Proben führte die Forscher zu mehreren Mustern einer iOS-Variante, die, wie sich bei weiteren Untersuchungen herausstellte, auf cleveren Phishing-Sites serviert wurden. Die Gegner täuschten sowohl Wind Tre SpA, einen italienischen Telekommunikationsbetreiber, als auch TMCell, den staatlichen Mobilfunkbetreiber in Turkmenistan, um laut Lookout iPhone-Benutzer ins Visier zu nehmen.
Um die iOS-App außerhalb des offiziellen App-Stores zu verbreiten, missbrauchten die Cyberkriminellen das Enterprise-Provisioning-System von Apple, das ihnen erlaubte, die Apps mit legitimen Apple-Zertifikaten zu signieren.
"Das Apple Developer Enterprise Programm soll es Unternehmen ermöglichen, proprietäre, firmeninterne Anwendungen an ihre Mitarbeiter zu verteilen, ohne den iOS App Store nutzen zu müssen", erklärten die Forscher von Lookout. "Ein Unternehmen kann nur dann Zugang zu diesem Programm erhalten, wenn es die von Apple festgelegten Anforderungen erfüllt. Es ist nicht üblich, dieses Programm zur Verbreitung von Malware zu verwenden, obwohl es in der Vergangenheit Fälle gegeben hat, in denen Autoren von Malware dies getan haben.
Die Apps selbst waren mit den Phishing-Websites verzahnt und gaben vor, Hilfsapplikationen zu sein, die von den Betreibern angeboten wurden. Sie wiesen die Nutzer an, "die Anwendung auf ihrem Gerät installiert zu lassen und unter WiFi-Abdeckung zu bleiben, um von einem unserer Betreiber kontaktiert zu werden".
Die Analyse von Lookout ergab, dass die iOS-Variante etwas gröber ist als ihr Android-Pendant und dass es ihr an der Fähigkeit mangelt, Schwachstellen der Geräte auszunutzen. Die Apps konnten jedoch immer noch dokumentierte APIs verwenden, um Kontakte, Fotos, Videos und von Benutzern aufgezeichnete Audioaufnahmen, Geräteinformationen und Standortdaten zu exfiltrieren; und sie bot eine Möglichkeit zur Durchführung von Remote-Audioaufnahmen, obwohl dies Push-Benachrichtigungen und Benutzerinteraktion erforderte.
"Obwohl die verschiedenen Versionen der Anwendung in ihrer Struktur variieren, wurde beim Start der Anwendung ohne Wissen des Benutzers bösartiger Code initialisiert, und es wurden eine Reihe von Zeitschaltern eingerichtet, um regelmäßig Daten zu sammeln und hochzuladen", so die Analyse. "Die hochgeladenen Daten wurden in eine Warteschlange gestellt und über HTTP-PUT-Anforderungen an einen Endpunkt auf dem C2 übertragen. Die iOS-Apps nutzen dieselbe C2-Infrastruktur wie die Android-Version und verwenden ähnliche Kommunikationsprotokolle.
Die gute Nachricht ist, dass Apple die betroffenen Zertifikate für diese spezielle Art von Apps widerrufen hat.
Es wird vermutet, dass Exodus an ein italienisches Unternehmen namens eSurv mit Sitz in Catanzaro in Kalabrien, Italien, gebunden ist. Sie wirbt öffentlich für Produkte wie CCTV-Managementsysteme, Überwachungsdrohnen, Gesichts- und Kennzeichenerkennungssysteme - und wird laut lokalen Nachrichtenberichten von den italienischen Behörden untersucht.
Aussichtsforscher sagten, dass sie weitere Beweise für eine Verbindung zwischen Exodus und eSurv entdeckt hätten.
"Frühe Versionen der Android-Anwendung nutzten eine Infrastruktur, die einer Firma namens Connexxa S.R.L. gehörte, und wurden mit dem Namen eines Ingenieurs unterzeichnet, der anscheinend Anteile an Connexxa hält", so der Bericht. "Der Name dieses Ingenieurs wird auch mit [eSurv] in Verbindung gebracht. Das öffentliche Marketing von eSurv konzentriert sich auf Videoüberwachungssoftware und Bilderkennungssysteme, aber es gibt eine Reihe von Personen, die behaupten, als mobile Sicherheitsforscher in der Firma zu arbeiten, darunter eine Person, die öffentlich behauptet hat, einen mobilen Überwachungsagenten zu entwickeln.
Darüber hinaus war eSurv einst eine Geschäftseinheit von Connexxa. "Die eSurv-Software und -Marke wurde von Connexxa S.R.L. an eSurv S.R.L. [im Jahr 2016] verkauft", so die Analyse.
Und schließlich enthielt jede der kürzlich gefundenen Phishing-Websites Links zu Metadaten wie dem Namen der Anwendung, der Version, dem Symbol und einer URL für die IPA-Datei.
