'Exodus' - phiên bản phần mềm gián điệp nhắm mục tiêu trực tiếp vào người dùng iOS
Các nhà nghiên cứu bảo mật thuộc hãng bảo mật LookOut mới đây đã phát hiện ra một phần mềm gián điệp, nhắm mục tiêu trực tiếp vào người dùng iOS.
'Exodus' - mã độc giám sát nhắm mục tiêu trực tiếp vào người dùng iOS - CyberSec365.org |
Không giống với biến thể Android, phiên bản phần mềm chứa mã độc Exodus trên iOS được phát tán thông qua các website giả mạo. Cụ thể, tin tặc đã lợi dụng chương trình Apple Developer Enterprise - chương trình cho phép các doanh nghiệp phát hành các ứng dụng của mình trong nội bộ mà không cần sử dụng App Store của iOS, để tiến hành phát tán mẫu phần mềm này.
"Each of the phishing sites contained links to a distribution manifest, which contained metadata such as the application name, version, icon, and a URL for the IPA file," the researchers say in a blog post.Mặc dù không đầy đủ tính năng như phiên bản trên Android, phiên bản phần mềm gián điệp Exodus trên iOS vẫn có thể lọc thông tin từ các thiết bị iPhone, trích xuất các dữ liệu bao gồm: danh bạ, tệp ghi âm, hình ảnh, video, định vị GPS và thông tin của thiết bị. Các dữ liệu bị đánh cắp sau đó được gởi thông qua giao thức HTTP PUT về máy chủ điều khiển và kiểm soát (C2) của tin tặc, giống như cách phiên bản trên Android đã hoạt động
"All these packages used provisioning profiles with distribution certificates associated with the company Connexxa S.R.L."
'Exodus' - mã độc giám sát nhắm mục tiêu trực tiếp vào người dùng iOS - CyberSec365.org |
Được phát triển ít nhất năm năm, Exodus cho Android thường bao gồm ba giai đoạn riêng biệt. Đầu tiên, có mã độc này sẽ thu thập thông tin nhận dạng cơ bản, như IMEI và số điện thoại của thiết bị được nhắm mục tiêu.
Giai đoạn thứ hai bao gồm nhiều gói nhị phân triển khai một bộ chức năng giám sát được triển khai tốt.
Cuối cùng, giai đoạn thứ ba sử dụng khai thác DirtyCOW khét tiếng (CVE-2016-5195) để chiếm quyền root đối với các điện thoại bị nhiễm. Sau khi cài đặt thành công, Exodus có thể thực hiện một giám sát toàn bộ thiết bị
Biến thể mã độc Exodus trên Android cũng được thiết kế để tiếp tục chạy trên thiết bị bị nhiễm ngay cả khi tắt màn hình.
Mặc dù phiên bản Android của Exodus có khả năng đã lây nhiễm từ vài trăm vài nghìn thiết bị, các nhà phát triển vẫn chưa thống kê được số lượng thiết bị iPhone bị nhiễm bởi biến thể Exodus của iOS.
CyberSec365.org (Theo The Hacker News)
Không có nhận xét nào