Приложение видеонаблюдения заражает как устройства iOS, так и Android

Недавнее открытие исследователей в области кибербезопасности выявило функцию мобильного отслеживания, которая была скрыта в скрытых данных с обоих устройств. Ios а также Android. По мнению исследователей, возможно, это программа «законного перехвата», которую используют правоохранительные органы и правительства.

Версия вредоносного ПО, которая заражает устройства Android, называется Exodus, и за последние пять лет она расширялась и, по-видимому, распространялась через приложения, предоставляемые в качестве сервисных приложений от итальянских поставщиков. Почти 25 из этих приложений доступен в Google Play. исследователи полагаю, что сотни или даже тысячи устройств были затронуты.

Три шага, которые включают вредоносные программы:

Первый шаг: соберите основную информацию об устройстве, такую ​​как IMEI и номер телефона, и отправьте ее на сервер управления и контроля. Второй этап: он устанавливается практически сразу после заражения мобильного телефона на первом этапе и также связывается с сервером. Второй этап состоит из нескольких двоичных пакетов, реализующих большинство возможностей наблюдения. Кроме того, они могут воспользоваться функциями, доступными на каждом устройстве. Третий шаг позволяет Exodus получить root-доступ к зараженному устройству, обычно используя уязвимость, известную как DirtyCOW. После полной установки Exodus может осуществлять расширенный мониторинг, например:

• Получить список установленных приложений
• Запись среды с использованием встроенного микрофона в формате 3gp
• Получить историю просмотров и закладки из Chrome и SBrowser (браузер доступен для телефонов Samsung)
• Экспорт событий из приложения Календарь
• Экспорт журнала звонков
• Запись телефонных звонков в формате 3gp
• Делайте снимки с помощью встроенной камеры
• Собирать информацию BTS
• Экспорт адресной книги
• Экспорт списка контактов из приложения Facebook
• Экспорт логов из разговоров Facebook Messenger
• Собирайте скриншоты любого приложения на переднем плане
• Экспорт информации в изображения с выставки
• Экспорт информации из приложения Gmail
• Ввод данных из IMO Messenger
• Экспорт журналов вызовов, контактов и сообщений из Skype
• Получить все СМС
• Экспорт сообщений и ключа шифрования из приложения Telegram
• Ввод данных из приложения Viber Messenger
• Экспорт логов из WhatsApp
• Получите обмен СМИ через WhatsApp
• Экспорт пароля сети Wi-Fi
• Извлечение данных из приложения WeChat
• Экспорт GPS-координат телефона

Соответствующее вредоносное ПО для iPhone распространялось через фишинговые сайты.

Версия iOS была установлена ​​вместе с Apple Developer Enterprise, что позволяет организациям распространять внутренние приложения среди сотрудников или участников без использования iOS App Store. Приложения маскировались под служебные приложения и просили пользователей «оставить приложение установленным на их устройстве и оставаться на связи через Wi-Fi».

Зараженные айфоны связаны с доменами и IP-адресами, принадлежащими Connexxa. Connexxa - это та же итальянская компания, чьи домены и IP-адреса использовались Exodus.

Исследователи заявили, что компания eSurv SRL также участвует в распространении вредоносного ПО. Программное обеспечение eSurv когда-то было подразделением Connexxa, которое 2016 было продано вместе с брендом на eSurv SRL.

Непонятно, сколько iPhone было заражено. Вариант вредоносного ПО для iOS не такой специализированный, как Exodus. В отличие от Exodus, версия для iOS не использовала уязвимости. Вместо этого он полагался на документированные программные интерфейсы. Однако он смог получить ряд конфиденциальных данных, таких как:

• Связи
• Записи
• Фото
• Βίντεο
• Расположение через GPS
• Информация об устройстве

Поскольку вариант iOS основывался на API-интерфейсах, предоставленных Apple, вредоносные программы предоставляли пользователям оповещения с некоторыми показательными признаками, указывающими, что их конфиденциальные данные отслеживаются.

Исследователи Lookout сообщили о своих выводах Apple, и компания отозвала корпоративный сертификат. Аннулирование позволяет предотвратить установку приложений на новых iPhone и отключение на зараженных устройствах. Исследователи, обнаружившие Exodus, сообщили о своих выводах в Google, и компания изъяла почти приложения 25 из Google Play.