Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Spyware Exodus, scoperta la variante iOS della famigerata app spia per Android: che c’è da sapere

È stata identificata la variante iOS del famigerato spyware Exodus, il software italiano per le intercettazioni scoperto il mese scorso che ha già spiato migliaia di ignari utenti Android sfruttando una ventina di app distribuite liberamente su Google Play. I dettagli e i consigli per difendersi

09 Apr 2019

Paolo Tarsitano


Il famigerato spyware “Exodus” sviluppato dalla software house calabrese E-Surv S.r.l. e che ha già spiato migliaia di ignari utenti Android camuffandosi dietro delle normali applicazioni distribuite su Google Play, ha anche una variante per dispositivi iOS che riesce a installarsi sugli smartphone delle vittime sfruttando i certificati digitali che consentono alle organizzazioni di creare e distribuire app aziendali per uso interno senza passare per l’App Store di Apple.

A fare la scoperta di questa nuova variante sono stati i ricercatori di LookOut, nota società specializzata in soluzioni di cyber security. La versione iOS dello spyware Exodus è stata individuata durante l’analisi dei campioni Android precedentemente isolati dai ricercatori.

A differenza della variante Android, però, la versione iOS di Exodus è stata distribuita al di fuori dell’App Store ufficiale, principalmente attraverso siti di phishing che imitano quelli ufficiali di alcuni operatori di telefonia mobile italiani e turkmeni. In particolare, la variante iOS dello spyware Exodus si sarebbe “camuffata” da programma di assistenza per utenti Tim, Vodafone e simili.

La scoperta della variante iOS dello spyware Exodus smonta, in qualche modo, il mito dell’inviolabilità dei sistemi Apple rispetto a quelli Android. Ce lo conferma anche Andrea Argentin, Sales Engineer Manager, Italy & Iberia di CyberArk: “L’ecosistema Apple, by design, offre un livello di sicurezza più elevato rispetto a quello Android, ma di contro questa sensazione di “security comfort zone” potrebbe indurci a pensare che un certo tipo di minacce non ci riguardino. Questa è la dimostrazione che tale ragionamento è sbagliato, perché i metodi alternativi ci sono: in questo caso, partendo da un attacco phishing siamo indotti a scaricare un’applicazione che agli occhi del sistema iOS risulta genuina. Pertanto, siamo noi ancora una volta ad essere chiamati a prestare sempre la massima attenzione a quello che scarichiamo”.

“È inoltre importante capire – continua Argentin – che questo genere di spyware per smartphone apre un mondo di possibilità agli attaccanti che non risiede nei soli dati presenti sul telefono ma dà possibilità infinite. Faccio un esempio: gli hacker possono vendere la sola posizione GPS a gruppi di ladri comuni per poter commettere furti in abitazioni o uffici con la certezza che il proprietario non sia presente. Il consiglio rimane sempre lo stesso: se la richiesta di scaricare o accedere a qualcosa proviene dall’esterno, diffidenza e attenzione devono essere al primo posto”.

Spyware Exodus: cos’è e come funziona

Scoperto per la prima volta dall’organizzazione no profit Security Without Borders in collaborazione con Motherboard, Exodus è nato come software legale per le intercettazioni utilizzato da molte procure italiane durante alcune indagini giudiziarie. Non si sa come, però, lo spyware “di stato” è finito su Google Play infettando diverse migliaia di ignari utenti italiani sui cui smartphone erano installate una ventina di app apparentemente legate ad alcuni operatori telefonici.

Il funzionamento della versione Android dello spyware Exodus consiste di tre fasi distinte:

  • in primo luogo, un dropper (un semplice programma creato per installare un malware, un virus o, come nel caso di Exodus, aprire una backdoor sul dispositivo della vittima) consente allo spyware di raccogliere alcune informazioni di base per l’identificazione dello smartphone da intercettare, come il codice identificativo IMEI (International Mobile Equipment Identity) e il numero di telefono. Questo dettaglio fa capire che il malware è stato originariamente programmato per effettuare uno spionaggio mirato verso un elenco preciso di utenti, giustificandone quindi l’utilizzo come strumento per le intercettazioni di Polizia;
  • nella seconda fase di funzionamento, lo spyware Exodus scarica e installa dal suo server C&C alcuni pacchetti binari multipli che distribuiscono una suite ben implementata di funzionalità di sorveglianza;
  • infine, il terzo stadio dello spyware attiva il famigerato exploit DirtyCOW che consente agli attaccanti di ottenere il controllo root, quindi con privilegi di amministratore, sui telefoni infetti. L’exploit, identificato nel 2016 come CVE-2016-5195, è collegato ad una vulnerabilità vecchia di una decina d’anni presente in quasi tutte le versioni del sistema operativo Linux rilasciate fino ad allora e, quindi, anche in Android in quanto basato sul kernel Linux.

Una volta installato con successo, Exodus è in grado di effettuare un’ampia sorveglianza dello smartphone dell’ignara vittima.

La variante Android è inoltre progettata per continuare a funzionare sul dispositivo infetto anche quando lo schermo è spento.

I dettagli della variante iOS di Exodus

Come dicevamo, a differenza della versione originale per Android, la variante dello spyware Exodus per dispositivi iOS non è passata dall’App Store ufficiale di Apple, ma è stata distribuita su alcuni siti di phishing.

Dal momento poi che Apple limita l’installazione diretta delle applicazioni al di fuori del suo store ufficiale, la versione iOS di Exodus abusa del programma Apple Developer Enterprise che permette alle aziende di distribuire le proprie applicazioni in-house direttamente ai propri dipendenti senza dover utilizzare l’App Store iOS. Si tratta dunque di una violazione delle policy Apple che proibiscono espressamente di distribuire app iOS aziendali proprietarie ai normali utenti.

Inoltre, i criminal hacker hanno “firmato” il pacchetto di installazione utilizzando un certificato digitale intestato alla società Connexxa S.r.l.: un escamotage utile per superare i controlli di sicurezza necessari per procedere con l’installazione sull’iPhone.

Anche se la variante iOS è meno sofisticata della sua controparte Android, lo spyware Exodus è comunque in grado di estrarre informazioni da dispositivi iPhone mirati, inclusi contatti, registrazioni audio, foto, video, localizzazione GPS e informazioni sul dispositivo.

I dati rubati vengono poi trasmessi tramite richieste HTTP PUT a un endpoint sul server di comando e controllo gestito dai criminal hacker, lo stesso di quello usato dalla versione Android dello spyware anche per quanto riguarda i protocolli di comunicazione.

I consigli per difendersi dallo spyware Exodus

“La scoperta di tale variante dello spyware Exodus ci ricorda che bisogna prestare attenzione alla sicurezza anche qualora vengano utilizzati sistemi IOS, storicamente considerati più sicuri, se non inattaccabili. In questo caso, la fiducia è il vettore di attacco usato per diffondere la minaccia”, è il commento di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Parterns4Innovation.

“Nell’ambito Google – continua Rizzi – posso decidere di installare un’app non ufficiale semplicemente abilitando le “sorgenti sconosciute”, assumendomi il relativo rischio. Nel mondo Apple, anche nel caso di app non ufficiali (non scaricate dall’Apple Store), dove non sia possibile quindi “validare” la sicurezza dell’app, è previsto un meccanismo di verifica della sorgente dell’app stessa. Questa misura, naturalmente, accresce la difficoltà di introduzione e diffusione di app malevole, ma non la esclude”.

“Il suggerimento, pertanto, è di fare sempre e comunque attenzione a tutte le buone pratiche di sicurezza, anche in ambienti considerati più sicuri. Nel caso specifico, è opportuno verificare sempre il contesto in cui si è scaricata l’app, includendo considerazioni come il sito web di origine, la reale necessità dell’app, l’origine della richiesta e via dicendo”.

Al momento non è chiaro quanti iPhone siano stati infettati dalla variante iOS di Exodus. Di certo c’è che dopo la segnalazione dello spyware da parte dei ricercatori di LookOut, Apple ha revocato il certificato aziendale di Connexxa S.r.l. impedendo di fatto nuove installazioni dello spyware.

Come regola di massima, quindi, per difendersi da minacce come lo spyware Exodus o simili è importante evitare di installare sul proprio iPhone applicazioni provenienti da sorgenti esterne all’App Store, a meno di non avere l’assoluta certezza della loro attendibilità.

Allo stesso modo, anche Google ha già rimosso da Play tutte le applicazioni compromesse. Al momento si sa che tra queste ci sono sicuramente le seguenti 10:

  • Assistenza Linea
  • Offerte Speciali
  • Offerte Telefoniche personalizzate
  • Servizi Telefonici Premium
  • Offerte per Te
  • Assistenza Linea Riattiva
  • Operatore Italia
  • Promo Offerte
  • Assistenza SIM
  • Offerte Telefoniche per te

Tutti i possessori di un dispositivo Android devono quindi rimuovere immediatamente queste applicazioni e successivamente installare una buona soluzione di sicurezza per effettuare una scansione del dispositivo alla ricerca di qualche altra traccia dello spyware Exodus.

Lo “scandalo Exodus” è utile, infine, per ricordare quanto sia importante in ambito aziendale utilizzare una soluzione di Mobile Device Management (MDM) per il controllo da remoto e centralizzato di tutti i dispositivi che accedono alle infrastrutture aziendali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5