Sicurezza

“Exodus”, app spione anche per iOS secondo Lookout

Il caso “Exodus” si rinfocola: la società di sicurezza Lookout sostiene di aver scoperto spyware anche in alcune applicazioni iOS. Insomma, se fino a qualche giorno fa le “indagini” di Motherboard, Security Without Borders e Trail of Bits avevano fatto emergere un serio problema di cybersicurezza in una ventina di app Android – che fornivano promozioni e offerte degli operatori telefonici italiani, adesso si parla di qualcosa di analogo in ambiente iOS.

La differenza sostanziale però è che, sebbene il numero di utenti afflitti dal problema non sia noto, è verosimile stimare che si possa trattare di un numero esiguo. Il motivo si deve al fatto che le app malevole non erano disponibili sull’App Store bensì su siti fake di operatori (italiano e turkmeno) – costruiti per attuare phishing.

Lookout spiega che la distribuzione di app iOS al di fuori dell’ecosistema Apple è stato possibile grazie a una serie di abusi attuati sul programma Apple Developer Enterprise, che in verità nasce per consentire alle imprese di fornire a partner o dipendenti applicazioni proprietarie specifiche. In passato qualcuno aveva già attuato questa strategia per diffondere malware ma a questo giro, come sottolinea la società di sicurezza, sembrerebbero esservi legami con la rete di Exodus.

In pratica i siti fake di phishing fornivano link di assistenza al cliente – ovviamente fasulli – che portavano al download di app iOS. “Le app stesse facevano finta di essere app di assistenza dell’operatore che chiedevano all’utente di ‘tenere l’app installata sul dispositivo e di rimanere sotto copertura Wi-Fi per essere contattati da uno dei nostri operatori'”, si legge nel post di Lookout.

Ora, sebbene la variante iOS dello spyware si sia dimostrata meno sofisticata di quella Android e priva di exploit fondamentali per azioni di “controllo” diffuso, Lookout sostiene che fosse possibile “esfiltrare” contatti, registrazioni audio, foto, video, dati di localizzazione GPS e informazioni sul dispositivo sfruttando delle API. Senza contare la possibilità di attivare una registrazione audio in remoto.

“Sebbene diverse versioni dell’app abbiano una struttura diversa, il codice dannoso veniva inizializzato all’avvio dell’applicazione senza che l’utente ne fosse a conoscenza e erano configurati un certo numero di timer per raccogliere e caricare periodicamente i dati”, conclude la specialista.

Apple è già intervenuta revocando i certificati interessati e quindi non è più possibile installare le app e quelle esistenti non possono essere più eseguite.