ΑρχικήsecurityΕφαρμογή επιτήρησης μολύνει τόσο iOS όσο και Android συσκευές

Εφαρμογή επιτήρησης μολύνει τόσο iOS όσο και Android συσκευές

συσκευές

Μία πρόσφατη ανακάλυψη που έγινε από ερευνητές ασφαλείας στον κυβερνοχώρο, έφερε στο φως μία λειτουργία παρακολούθησης για κινητά, η οποία υπέκλεπτε στα κρυφά δεδομένα, τόσο από συσκευές iOS όσο και Android. Σύμφωνα με τους ερευνητές, πιθανολογείται ότι πρόκειται για το λογισμικό “lawful intercept”, το οποίο χρησιμοποιείται από τις αρχές επιβολής του νόμου και τις κυβερνήσεις.

H έκδοση του κακόβουλου λογισμικού που προσβάλει τις συσκευές Android, ονομάστηκε Exodus και αναπτυσσόταν τα τελευταία πέντε χρόνια.Φαίνεται ότι διανεμήθηκε μέσω εφαρμογών που καλύπτονται ως εφαρμογές υπηρεσιών που προέρχονταν από Ιταλούς παρόχους. Σχεδόν 25 από αυτές τις εφαρμογές είναι διαθέσιμες στο Google Play. Οι ερευνητές πιστεύουν ότι εκατοντάδες ή ακόμα και χιλιάδες συσκευές έχουν επηρεαστεί.

Τα τρία στάδια που περιλαμβάνει το κακόβουλο λογισμικό είναι:

Πρώτο στάδιο: συλλογή βασικών πληροφοριών σχετικά με τη συσκευή, όπως το IMEI και τον αριθμό τηλεφώνου και αποστολή τους σε έναν command and control server. Δεύτερο στάδιο: εγκαθίσταται σχεδόν αμέσως μετά τη μόλυνση του κινητού από το πρώτο στάδιο και επίσης επικοινωνεί με έναν server. Το δεύτερο στάδιο αποτελείται από πολλά binary packages που υλοποιούν το μεγαλύτερο μέρος των δυνατοτήτων επιτήρησης. Επιπλέον μπορούν να επωφεληθούν από τις δυνατότητες που είναι διαθέσιμες στην εκάστοτε συσκευή. Ένα τρίτο στάδιο επιτρέπει στο Exodus να αποκτήσει πρόσβαση root  στη μολυσμένη συσκευή, συνήθως με τη χρήση μίας ευπάθειας γνωστή ως DirtyCOW. Αφού εγκατασταθεί πλήρως, το Exodus μπορεί να επιτύχει εκτεταμένη παρακολούθηση, όπως:

  • Ανάκτηση λίστας εγκατεστημένων εφαρμογών
  • Καταγραφή του περιβάλλοντος, χρησιμοποιώντας το ενσωματωμένο μικρόφωνο σε μορφή 3gp
  • Ανάκτηση του ιστορικού περιήγησης και των σελιδοδεικτών από το Chrome και το SBrowser (το πρόγραμμα περιήγησης που διατίθεται με τα τηλέφωνα Samsung)
  • Εξαγωγή συμβάντων από την εφαρμογή Ημερολόγιο
  • Εξαγωγή του αρχείου κλήσεων
  • Εγγραφή τηλεφωνικών κλήσεων σε μορφή 3gp
  • Λήψη φωτογραφιών με την ενσωματωμένη κάμερα
  • Συλλογή πληροφοριών BTS
  • Εξαγωγή του βιβλίου διευθύνσεων
  • Εξαγωγή της λίστας επαφών από την εφαρμογή Facebook
  • Εξαγωγή αρχείων καταγραφής από συνομιλίες του Facebook Messenger
  • Συλλογή screenshots οποιασδήποτε εφαρμογής στο προσκήνιο
  • Εξαγωγή πληροφοριών σε εικόνες από την Έκθεση
  • Εξαγωγή πληροφοριών από την εφαρμογή Gmail
  • Καταχώρηση δεδομένων από την εφαρμογή IMO Messenger
  • Εξαγωγή αρχείων καταγραφής κλήσεων, επαφών και μηνυμάτων από την εφαρμογή Skype
  • Ανάκτηση όλων των SMS
  • Εξαγωγή μηνυμάτων και κλειδιού κρυπτογράφησης από την εφαρμογή Telegram
  • Καταχώριση δεδομένων από την εφαρμογή Viber messenger
  • Εξαγωγή αρχείων καταγραφής από το WhatsApp
  • Ανάκτηση μέσων που ανταλλάσσονται μέσω του WhatsApp
  • Εξαγωγή του κωδικού πρόσβασης του δικτύου Wi-Fi
  • Εξαγωγή δεδομένων από την εφαρμογή WeChat
  • Εξαγωγή των συντεταγμένων GPS του τηλεφώνου

Το αντίστοιχο κακόβουλο λογισμικό για iPhone, διανεμήθηκε μέσω ιστοτόπων ηλεκτρονικού “ψαρέματος” (phishing).

Η έκδοση για iOS εγκαταστάθηκε με το πρόγραμμα Apple Developer Enterprise, το οποίο επιτρέπει στους οργανισμούς να διανέμουν εσωτερικές εφαρμογές σε υπαλλήλους ή μέλη χωρίς να χρησιμοποιούν το iOS App Store. Οι εφαρμογές μεταμφιέζονταν ως εφαρμογές υπηρεσιών και ζητούσαν από τους χρήστες να “διατηρούν την εφαρμογή εγκατεστημένη στη συσκευή τους και να παραμένουν συνδεδεμένοι μέσω Wi-Fi .”

Τα μολυσμένα iPhones συνδέονται με domains και διευθύνσεις IP που ανήκουν στην Connexxa. Η Connexxa είναι η ίδια ιταλική εταιρεία της οποίας τα domains και οι διευθύνσεις IP, χρησιμοποιήθηκαν από το Exodus.

Οι ερευνητές είπαν ότι μια εταιρεία που ονομάζεται eSurv S.R.L. συμμετέχει επίσης στις προσπάθειες διάδοσης του malware. Το λογισμικό eSurv ήταν κάποτε μια επιχειρηματική μονάδα της Connexxa , που το 2016 πουλήθηκε μαζί με το εμπορικό σήμα στην eSurv S.R.L.

Δεν είναι σαφές πόσες συσκευές iPhone έχουν μολυνθεί. Η παραλλαγή του malware για iOS δεν είναι τόσο εξειδικευμένη όσο το Exodus. Σε αντίθεση με το Exodus, η έκδοση για iOS δεν παρατηρήθηκε να χρησιμοποιεί ευπάθειες. Αντ ‘αυτού, βασίστηκε σε τεκμηριωμένες διεπαφές προγραμματισμού. Παρόλα αυτά, ήταν σε θέση να αποκτήσει μια ποικιλία ευαίσθητων δεδομένων, όπως:

  • Επαφές
  • Ηχογραφήσεις
  • Φωτογραφίες
  • Βίντεο
  • Τοποθεσία μέσω GPS
  • Πληροφορίες συσκευής

Επειδή η παραλλαγή για iOS βασιζόταν σε API που παρέχονται από την Apple, το κακόβουλο λογισμικό παρείχε στους χρήστες ειδοποιήσεις με κάποια ενδεικτικά σημάδια που θα τους έδειχναν ότι τα ευαίσθητα δεδομένα τους παρακολουθούνταν.

Οι ερευνητές της Lookout ανέφεραν τα ευρήματά τους στην Apple και η εταιρεία ανακάλεσε το enterprise certificate. Η ανάκληση έχει ως αποτέλεσμα να αποτρέπεται η εγκατάσταση των εφαρμογών σε νέα iPhones και να διακοπεί η λειτουργία τους σε μολυσμένες συσκευές. Οι ερευνητές που ανακάλυψαν το Exodus ανέφεραν τα ευρήματά τους και στην Google και η εταιρεία απέσυρε σχεδόν 25 εφαρμογές από το Google Play.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS