Các nhà nghiên cứu an ninh mạng đã phát hiện phiên bản khác của phần mềm gián điệp khét tiếng có tên Exodus nhắm đến người dùng iOS.
Phần mềm gián điệp Exodus ban đầu nhắm đến các thiết bị Android thông qua nhiều ứng dụng trên Google Play Store. Mới đây, các nhà nghiên cứu thuộc công ty bảo mật di động Lookout đã phát hiện phiên bản iOS của malware này trong khi phân tích trên Android.
Khác với loại trên Android, Exodus bản iOS đã được phát tán rộng rãi ra bên ngoài App Store, đặc biệt là các website giả mạo nhà mạng di động của Italy và Turkmenistan.
Vì Táo Khuyết hạn chế cài đặt trực tiếp ứng dụng bên ngoài trang chính thức, malware Exodus đã lạm dụng chương trình Apple Developer Enterprise để đẩy ứng dụng nội bộ của họ cho nhân viên mà không thông qua App Store.
Đại diện nghiên cứu cho biết: “Mỗi trang lừa đảo đều chứa những liên kết đến bảng phân phối, dữ liệu như tên ứng dụng, phiên bản, biểu tượng cùng tập tin cài đặt *.ipa. Tất cả gói tin dùng dữ liệu phân phối với chứng chỉ liên kết của công ty Connexxa S.R.L”.
Dù phiên bản trên iOS ít tinh vi hơn so với Android, phần mềm gián điệp vẫn có thể khai thác dữ liệu từ iPhone, bao gồm danh bạ, bản ghi âm, video, vị trí GPS và thông tin thiết bị. Dữ liệu đánh cắp được sẽ được truyền tải qua thao tác PUT của HTTP đến máy chủ kiểm soát của kẻ tấn công, tương tự như hạ tầng ứng dụng CnC trên phiên bản Android với cùng giao thức.
Exodus có khả năng là sản phẩm được đầu tư với nỗ lực nhắm đến chính phủ hoặc cơ quan thực thi pháp luật.
Malware nói trên được phát triển bởi công ty Connexxa S.R.L của Italy. Nhiều người biết đến loại mã độc này khi đội hacker mũ trắng thuộc Security Without Borders phát hiện ra gần 25 ứng dụng độc hại khác nhau bị xóa khỏi Google Play Store vào tháng trước.
Được phát triển trong khoảng thời gian ít nhất 5 năm, bản Exodus cho Android hoạt động theo ba giai đoạn. Đầu tiên, phần mềm gián điệp sẽ tạo luồng nhỏ thu thập một số thông tin cơ bản như mã IMEI, số điện thoại liên quan đến thiết bị mục tiêu. Tiếp theo là triển khai nhiều gói tin nhị phân có chức năng giám sát. Cuối cùng, kẻ xấu dùng cách khai thác DirtyCow (CVE-2016-5195) để chiếm quyền kiểm soát điện thoại. Khi đã cài đặt, Exodus có thể thực hiện theo dõi diện rộng trên thiết bị.
Ngoài ra, Exodus trên Android được thiết kế để chạy liên tục ngay cả khi tắt màn hình điện thoại. Số điện thoại Android đã bị tấn công khoảng vài ngàn, tuy nhiên vẫn chưa có thông tin về các iPhone bị ảnh hưởng.
Sau khi được đội nghiên cứu của Lookout thông báo, Apple đã thu hồi chứng chỉ doanh nghiệp của công ty phát hành để ngăn không cho phần mềm gián điệp này cài trên iPhone và chạy trên thiết bị ảnh hưởng.
Đây là lần thứ hai một công ty phần mềm của Italy bị phát hiện phát tán phần mềm gián điệp. Đầu năm ngoái, một công ty của nước này cũng phân phối công cụ gián điệp “Skygofree” trên Android giúp tin tặc kiểm soát hoàn toàn điện thoại bị ảnh hưởng.
Theo The Hacker News