Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксперты нашли очередную версию зловреда на фишинговых страницах, созданных для пользователей из Италии и Туркменистана.
Исследователи из компании Lookout обнаружили iOS-версию трояна Exodus, снабженную легитимным сертификатом разработчика Apple. Согласно их докладу в преддверии конференции SAS-2019, зловред распространялся через фишинговые страницы, имитировавшие сайты мобильных провайдеров Италии и Туркменистана.
Впервые об Android-шпионе Exodus рассказали эксперты Security Without Borders. Его создатели за нескольких лет загрузили в Google Play в общей сложности 25 версий программы, маскируя ее под приложения итальянских сотовых компаний. По мнению специалистов, троян использовался для целенаправленных заражений и не предназначался для массовых кампаний.
Приложения в Google Play выполняли роль загрузчика, который скачивал на аппараты жертв основной компонент. Список вредоносных функций Exodus включал:
Версия Exodus для iOS-устройств работает по схожему принципу, но с меньшим размахом. В частности, ее возможности для шпионажа ограничены чтением календаря, контактов и системных данных, доступом к «Фото», геолокации и голосовым заметкам. Исследователи также нашли в коде функцию скрытой аудиозаписи, которая запускается, если пользователь откроет отправленное преступником push-уведомление.
Собранные данные зловред отправляет на командный узел через HTTP-запросы PUT. Именно по совпадению коммуникационной инфраструктуры исследователи и установили родство этого трояна с Android-версией Exodus.
Как отмечалось выше, злоумышленники заражали жертв через фишинговые страницы. Они воспользовались программой Apple Developer Enterprise, позволяющей организациям распространять собственные iOS-приложения для внутреннего использования. Все программы на таких площадках заверяются специальным сертификатом с указанием юридического лица, на которое он выпущен. В случае iOS-Exodus в этих данных значится Connexxa S.R.L. — один из аффилиатов компании eSurv, подозреваемой в разработке Android-шпиона.
Специалисты поделились своими открытиями с сотрудниками компании Apple, которые отозвали соответствующие сертификаты. Таким образом было заблокировано вредоносное приложение на пораженных устройствах и запрещены новые загрузки.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |