Exodus: el sofisticado malware italiano para Android
Así lo han revelado investigadores de la empresa de seguridad móvil Lookout en la Kaspersky Security Analyst Summit, donde el spyware Exodus estaba oculto en apps reales. Este malware fue descubierto en marzo en Android, donde descubrieron el spyware en 20 aplicaciones, las cuales llevaban varios meses disponibles en la Play Store, e incluso dos años en algunas ocasiones.
Este malware estaba lanzado por el gobierno italiano. Las apps estaban bien diseñadas, ya que a simple vista eran solo para recibir promociones y ofertas de operadores locales italianos, u ofrecer otras funciones como mejorar el rendimiento del móvil. En total, hubo en torno a 1.000 afectados, y todos ellos dentro de Italia, ya que el desarrollador, eSurv, era una empresa italiana. Los servidores del malware estaban gestionados por ellos, además de por Connexxa, una empresa que compraron en 2016. La web de la empresa ya no está disponible, y ya no se responden cuando se les contacta.
El spyware comprobaba inicialmente el IMEI del móvil para saber si era un objetivo a atacar, contando con una función llamada “CheckValidTarget“. Si salía positivo, se descargaba un malware en formato ZIP que hackea el móvil y roba datos de él, incluyendo llamadas, historial, calendario, ubicación, chats de WhatsApp y Messenger, etc.
Sus creadores también han conseguido infectar iPhone y iPad
Ahora, el hecho de que el malware afecte a iOS demuestra el alcance de quien está ayudando a su expansión. No se sabe si también se ha usado para atacar a objetivos concretos o si han buscando atacar a un grupo más amplio. El método de infección era parecido al usado en Android. Primero, accedían a páginas web de phishing que se hacía pasar por operadores de Italia o Turkmenistan, como Wind Tre SpA o TMCell, y les redirigían a las tiendas correspondientes dependiendo del móvil que tuviera el usuario.
Mientras que en Android sí consiguieron colar la app en la Google Play Store, con iOS tuvieron que recurrir al Apple Developer Enterprise Program. Obtener este certificado cuesta unos 300 dólares, y es la única manera de instalar malware si no has hecho jailbreak al móvil, así como si la app no ha conseguido pasar el proceso de aprobación de Apple.
Así, una vez instalada, Exodus podía acceder a fotos, vídeos, ID del dispositivo, grabaciones de audio, contactos, ubicación o escuchar todas las conversaciones a través de los micrófonos del iPhone o del iPad. Los investigadores están sorprendidos del avanzado nivel de este spyware, ya que además aprovecha para robar todos los datos posibles que tienen a su alcance.
En el caso de Android, la app funcionaba en tres pasos: primero instalaba una puerta de acceso al móvil, después descargaba la parte más pesada del malware, y luego aprovechaba una vulnerabilidad para conseguir acceso root. En iOS no aprovechaba exploits, sino que simplemente contaba con que los usuarios le dieran todos los permisos que pedían. Por suerte, todas las apps que tenían el malware ya han sido eliminadas.
