Les chercheurs en cybersécurité ont découvert une version iOS de la puissante application de surveillance des téléphones mobiles qui visait initialement les appareils Android grâce à des applications sur la boutique officielle Google Play Store.

Surnommée Exodus, comme on l’appelle, la version iOS du logiciel espion a été découverte par les chercheurs en sécurité de LookOut lors de leur analyse des échantillons Android qu’ils avaient trouvés l’an dernier.
Contrairement à sa version Android, la version iOS d’Exodus a été distribuée en dehors de l’App Store officiel, principalement via des sites de phishing qui imitent les opérateurs mobiles italiens et turkmènes.

Comme Apple restreint l’installation directe d’applications en dehors de son magasin d’applications officiel, la version iOS d’Exodus abuse du programme Apple Developer Enterprise, qui permet aux entreprises de distribuer leurs propres applications internes directement à leurs employés sans avoir à utiliser l’iOS App Store.


“Chacun des sites d’hameçonnage contenait des liens vers un manifeste de distribution, qui contenait des métadonnées telles que le nom de l’application, la version, l’icône et l’URL du fichier IPA “, indiquent les chercheurs dans un article de blog.

“Tous ces paquets utilisaient des profils d’approvisionnement avec des certificats de distribution associés à la société Connexxa S.R.L.”
Bien que la variante iOS soit moins sophistiquée que son homologue Android, le logiciel espion peut toujours être capable d’exfiltrer les informations des appareils iPhone ciblés, y compris les contacts, les enregistrements audio, les photos, les vidéos, la position GPS et les informations sur les appareils.

Les données volées sont ensuite transmises via des requêtes HTTP PUT à un terminal sur le serveur de commande et de contrôle contrôlé par l’attaquant, qui est la même infrastructure CnC que la version Android et utilise des protocoles de communication similaires.
ios programme de développement de logiciels malveillants apple enterprise developer
Plusieurs détails techniques indiquaient qu’Exodus était ” probablement le produit d’un effort de développement bien financé ” et visait à cibler les secteurs gouvernementaux ou d’application de la loi.

“Il s’agit notamment de l’utilisation de l’épinglage par certificat et du chiffrement à clé publique pour les communications C2, des restrictions géographiques imposées par le C2 lors de la livraison de la deuxième étape, et de la suite complète et bien mise en œuvre de fonctions de surveillance “, indiquent les chercheurs.


Développé par la société italienne Connexxa S.R.L., Exodus est apparu à la fin du mois dernier lorsque des pirates en chapeau blanc de Security Without Borders ont découvert près de 25 applications différentes déguisées en applications de service sur Google Play Store, que le géant technologique a retiré après en avoir été informé.

En développement depuis au moins cinq ans, Exodus pour Android se compose généralement de trois stades distincts. Premièrement, il y a un petit compte-gouttes qui recueille des renseignements d’identification de base, comme l’IMEI et le numéro de téléphone, au sujet de l’appareil visé.

La deuxième étape consiste en de multiples paquets binaires qui déploient une suite de fonctionnalités de surveillance bien implémentée.
Enfin, la troisième étape utilise l’infâme exploitation DirtyCOW (CVE-2016-5195) pour prendre le contrôle des téléphones infectés. Une fois installé avec succès, Exodus peut effectuer une grande quantité de surveillance.
La variante Android est également conçue pour continuer à fonctionner sur l’appareil infecté même lorsque l’écran est éteint.

Alors que la version Android d’Exodus avait potentiellement infecté “plusieurs centaines sinon mille ou plus” d’appareils, il n’est pas clair combien d’iPhones ont été infectés par la variante iOS Exodus.

Après avoir été informé du spyware par les chercheurs de Lookout, Apple a révoqué le certificat d’entreprise, empêchant l’installation d’applications malveillantes sur de nouveaux iPhones et leur exécution sur des appareils infectés.

C’est la deuxième fois au cours de l’année écoulée qu’une société italienne de logiciels espions est prise en flagrant délit de distribution de logiciels espions. Au début de l’année dernière, une autre société italienne dont l’identité n’a pas été révélée a été trouvée en train de distribuer “Skygofree”, un dangereux outil d’espionnage Android qui permet aux pirates de contrôler à distance les appareils infectés.