ads header

Breaking News

'Exodus' - phiên bản phần mềm gián điệp nhắm mục tiêu trực tiếp vào người dùng iOS

4/09/2019 02:25:00 SA , , , , , , , , , , , , ,

Các nhà nghiên cứu bảo mật thuộc hãng bảo mật LookOut mới đây đã phát hiện ra một phần mềm gián điệp, nhắm mục tiêu trực tiếp vào người dùng iOS.

'Exodus' - mã độc giám sát nhắm mục tiêu trực tiếp vào người dùng iOS - CyberSec365.org
'Exodus' - mã độc giám sát nhắm mục tiêu trực tiếp vào người dùng iOS - CyberSec365.org
Theo đó, phần mềm này được cho là biến thể của mẫu phần mềm gián điệp được các nhà nghiên cứu phát hiện trên kho ứng dụng Google Play Store hồi cuối năm 2018 - khi ấy, mẫu mã độc này chỉ nhắm mục tiêu vào người dùng thiết bị Android.
Không giống với biến thể Android, phiên bản phần mềm chứa mã độc Exodus trên iOS được phát tán thông qua các website giả mạo. Cụ thể, tin tặc đã lợi dụng chương trình Apple Developer Enterprise - chương trình cho phép các doanh nghiệp phát hành các ứng dụng của mình trong nội bộ mà không cần sử dụng App Store của iOS, để tiến hành phát tán mẫu phần mềm này.
"Each of the phishing sites contained links to a distribution manifest, which contained metadata such as the application name, version, icon, and a URL for the IPA file," the researchers say in a blog post.
"All these packages used provisioning profiles with distribution certificates associated with the company Connexxa S.R.L."
 Mặc dù không đầy đủ tính năng như phiên bản trên Android, phiên bản phần mềm gián điệp Exodus trên iOS vẫn có thể lọc thông tin từ các thiết bị iPhone, trích xuất các dữ liệu bao gồm: danh bạ, tệp ghi âm, hình ảnh, video, định vị GPS và thông tin của thiết bị. Các dữ liệu bị đánh cắp sau đó được gởi thông qua giao thức HTTP PUT về máy chủ điều khiển và kiểm soát (C2) của tin tặc, giống như cách phiên bản trên Android đã hoạt động
'Exodus' - mã độc giám sát nhắm mục tiêu trực tiếp vào người dùng iOS - CyberSec365.org
'Exodus' - mã độc giám sát nhắm mục tiêu trực tiếp vào người dùng iOS - CyberSec365.org
Được phát triển bởi Connexxa S.R.L - một công ty có trụ sở tại Ý, Exodus được các nhà nghiên cứu bảo mật phát hiện vào cuối tháng trước trong gần 30 ứng dụng khác nhau trên Google Play Store, những ứng dụng này ngay sau đó đã bị Google gỡ bỏ khỏi kho ứng dụng.
Được phát triển ít nhất năm năm, Exodus cho Android thường bao gồm ba giai đoạn riêng biệt. Đầu tiên, có mã độc này sẽ thu thập thông tin nhận dạng cơ bản, như IMEI và số điện thoại của thiết bị được nhắm mục tiêu.
Giai đoạn thứ hai bao gồm nhiều gói nhị phân triển khai một bộ chức năng giám sát được triển khai tốt.
Cuối cùng, giai đoạn thứ ba sử dụng khai thác DirtyCOW khét tiếng (CVE-2016-5195) để chiếm quyền root đối với các điện thoại bị nhiễm. Sau khi cài đặt thành công, Exodus có thể thực hiện một giám sát toàn bộ thiết bị
Biến thể mã độc Exodus trên Android cũng được thiết kế để tiếp tục chạy trên thiết bị bị nhiễm ngay cả khi tắt màn hình.
Mặc dù phiên bản Android của Exodus có khả năng đã lây nhiễm từ vài trăm vài nghìn thiết bị, các nhà phát triển vẫn chưa thống kê được số lượng thiết bị iPhone bị nhiễm bởi biến thể Exodus của iOS.
CyberSec365.org (Theo The Hacker News)

Không có nhận xét nào

Đăng ký: Đăng Nhận xét ( Atom )