Lookout scopre Exodus, lo spyware di stato per iOS e Android

Digitree - Disruptive technologies for secure smart workers / Crittografia  / Lookout scopre Exodus, lo spyware di stato per iOS e Android
esurv_image 5

Lookout scopre Exodus, lo spyware di stato per iOS e Android

Adam Bauer, il ricercatore di Lookout Mobile Endpoint Security che ha scoperto lo spyware Exodus, anticipa qui i risultanti delle sue analisi che verranno presentati al Kaspersky Security Analyst Summit di Singapore questa settimana. 

Nel corso degli ultimi anni, i ricercatori di Lookout sono stati alla caccia di spyware per Android e iOS che possono sottrarre contatti, registrazioni audio, foto, dati di geolocalizzazione e altro dai dispositivi mobili. Alcune version del malware per Android erano state caricate su Google Play Store. Le versioni per iOS erano disponibili al di fuori dell’app store, su siti di phishing, abusando dell programma Apple Developer Enterprise.

Scenario: Spyware per Android

All’inizio dell’anno, Lookout ha scoperto un sofisticato spyware per Android che sembra sia stato creato per intercettazioni da parte della polizia di stato. Lo spyware è stato sviluppato nel corso di almeno cinque anni e opera in tre stadi. Nel primo, un piccolo ‘dropper’ cattura numero di telefono e codice IMEI del telefono. Successivamente, viene installato un payload più grande che contiene numerosi file binari in cui sono implementate la maggior parte delle funzioni di sorveglianza. Ed infine, un terzo stadio utilizza l’exploit DirtyCOW (CVE-2016-5195) per ottenere accesso alla root. L’organizzazione Security Without Borders ha recentemente pubblicato un’analisi di questa famiglia di spyware nel suo blog.

Numerosi dettagli tecnici indicano che il software malevolo è stato probabilmente prodotto grazie a un progetto ben finanziato avente come scopo quello di permettere l’intercettazione da parte della polizia di stato. Tra questi dettagli l’uso del certificate pinning e la cifratura a chiave pubblica per le comunicazioni con un server C2, le restrizioni geografiche imposte dalle funzioni C2 durante il secondo stadio, e la completa suite implementata per le funzioni di sorveglianza.

Le prime versione del malware per Android utilizzavano le infrastrutture di una software house calabrese, la Connexxa S.R.L., ed erano firmate utilizzando il nome di un ingegnere che deteneva il patrimonio netto della società. Sembra inoltre che questo ingegnere fosse anche socio della compagnia eSurv S.R.L., sviluppatrice di software per videosorveglianza e sistemi di image recognition, e che uno dei dipendenti della società abbia dichiarato pubblicamente di stare lavorando ad un agent per la sorveglianza mobile.

Lookout ha avvertito Google della potenziale minaccia subito dopo averla scoperta. Assieme, nel corso della seconda metà del 2018, hanno lavorato per rimuovere la app dal Play Store mentre essa veniva distribuita sul dark web.

iOS development

Le analisi del malware per Android hanno portato alla scoperta di un’infrastruttura che conteneva numerosi campioni per iOS, messi a disposizione su siti di phishing che simulavano quelli di provider di telefonia mobile sia italiani che della repubblica Turkmena.

Esurv_image 2.2La compagnia telefonica di stato del Turkmenistan, TMCell

eSurv_image 1 Il provider di telefonia italiano Wind Tre SpA

La distribuzione agli utenti al di fuori dell’app store di Apple era stata resa possibile dallo sfruttamento del Apple Developer Enterprise Program. Scopo del programma è quello di permettere alle aziende di distribuire app proprietarie ai loro dipendenti senza il bisogno di ricorrere all’App Store. Una compagnia può ottenere accesso al programma soltanto se risulta conforme ai requisiti richiesti da Apple. Non è cosa comune distribuire malware in questo modo, sebbene siano già stati riscontrati casi simili.

Ciascun sito di phishing conteneva link ad un archivio di distribuzione che conteneva metadati come nome e versione dell’applicazione, icona e l’URL del file IPA. In modo da poter essere distribuito al di fuori dell’app store, un pacchetto IPA deve contenere un profilo di mobile provisioning con il certificato di un’impresa e, in questo caso, i pacchetti utilizzavano certificati associati alla compagnia Connexxa S.R.L.

eSurv_image 3Il certificato utilizzato

Le app stesse simulavano un’app di assistenza dei provider che istruivano l’utente a ‘mantenere l’app installata sul dispositivo e stare sotto copertura wifi in modo da poter essere contattato da un nostro operatore”.

eSurv_image 4Uno dei pacchetti dopo l’installazione iniziale

La variante per iOS non era sofisticata come quella per Android, e conteneva solo un sottoinsieme delle funzionalità offerte. In particolare, questi pacchetti apparentemente non contenevano o scaricavano exploit che avrebbero potuto avviare certi tipi di attività sui dispositivi iOS. Tuttavia, pur con queste limitazioni, erano in grado di esfiltrare, grazie ad API, questi tipi di dati:

  • contatti
  • registrazioni audio,
  • foto
  • video
  • dati di geo-localizzazione
  • informazioni sul dispositivo

e davano inoltre la possibilità di effettuare registrazioni audio da remoto.

Sebbene le app variassero per struttura, il codice malevolo veniva inizializzato in fase di lancio senza che l’utente ne fosse a conoscenza, e un certo numero di timer erano settati per raccogliere e caricare dati periodicamente.

I dati caricati erano trasmessi tramite richieste HTTP PUT al server command & control. Le app iOS sfruttavano la stessa infrastruttura C2 della versione Android e usavano un protocollo analogo. Anche le push notification erano utilizzate per controllare le registrazioni audio.

Lookout ha condiviso queste informazioni con Apple ed il certificato illegittimo è stato revocato per impedire l’installazione di qualunque nuova istanza di questa app e per bloccare l’esecuzione della app se già installalta. Sia gli utenti Android che quelli iOS di Lookout Mobile Security sono protetti da questa minaccia.

Come tutelare la propria privacy

Cresce quindi la preoccupazione relativa alla riservatezza delle nostre conversazioni. Solo pochi giorni prima dell’annuncio della scoperta dello spyware, era stata pubblicata sui media la telefonata tra uno dei bambini del bus dirottato e poi dato alle fiamme in provincia di Milano e la sua mamma. Sembra bizzarro che madre e figlio registrino una conversazione, soprattutto in circostanze così drammatiche. Potrebbe trattarsi di un falso, di una ricostruzione a posteriori ma, se non lo fosse, darebbe adito ad interrogativi preoccupanti.

Il Garante Privacy ha definito il caso Exodus un ‘fatto gravissimo’, ma a tutt’oggi non sono stati presi i necessari provvedimenti da parte delle istituzioni per evitare che tecniche di intercettazione possano determinare inaccettabili violazioni della libertà dei cittadini.

Digitree, grazie alla partnership con Lookout e di EasyPhonia, la compagnia telefonica che permette di effettuare comunicazioni vocali e video chiamate protette con i più elevanti standard di crittografia, ha creato una soluzione di sicurezza a prova di ‘bomba informatica’ per evitare che tecniche di intercettazione non autorizzate possano determinare inaccettabili violazioni della libertà dei cittadini.

La soluzione di mobile security, a breve disponibile sia sul sito web di DigiTree che tramite i suoi rivenditori autorizzati, prevede tre tipologie di offerta: nel primo caso, la fornitura del software di sicurezza e la sottoscrizione al servizio di SOC; nel secondo pacchetto applicazioni e servizi sono forniti assieme ad uno smartphone a scelta del cliente; nel terzo, infine, lo smartphone fornito è di tipo rugged per le condizioni di utilizzo più estreme.

Scopri di più su Lookout Mobile Endpoint Security e EasyPhonia 

No Comments
Post a Comment