Các nhà nghiên cứu an ninh mạng mới đây đã phát hiện ra phiên bản iOS của một ứng dụng gián điệp điện thoại, ban đầu được thiết kế để nhắm mục tiêu đến thiết bị Android thông qua các ứng dụng trên Google Play Store.
Phần mềm độc hại này được đặt tên là Exodus. Nó chính là phần mềm gián điệp hoạt động trên iOS, được phát triển dựa trên phiên bản cho Android vốn đã được các nhà nghiên cứu bảo mật tại LookOut phát hiện trong quá trình phân tích các mẫu Android mà họ đã tìm thấy vào năm ngoái.
Không giống như biến thể Android, phiên bản Exodus trên iOS đã được phân phối bên ngoài App Store chính thức của Apple, chủ yếu thông qua những trang web lừa đảo được thiết kế bắt chước các nhà mạng di động của Ý và Turkmenistan nhằm lợi dụng sự nhẹ dạ cả tin từ phía nạn nhân.
Bên cạnh đó, do Apple luôn duy trì chính sách hạn chế cài đặt ứng dụng trực tiếp bên ngoài cửa hàng ứng dụng chính thức là App Store, vậy nên phiên bản iOS của Exodus chuyển sang lạm dụng chương trình Apple Developer Enterprise, cho phép doanh nghiệp phân phối ứng dụng nội bộ trực tiếp cho nhân viên của mình mà không cần sử dụng App Store của iOS, qua đó lây lan vào các thiết bị người dùng cá nhân.
Thông tin về mã độc này được các chuyên gia bảo mật của LookOut chia sẻ trong một bài đăng trên Blog như sau:
"Mỗi trang web lừa đảo sẽ chứa các liên kết đến một bảng kê khai phân phối, trong đó, bảng này lại chứa siêu dữ liệu như tên ứng dụng, phiên bản, biểu tượng và URL cho tệp IPA. Tất cả các gói này đã sử dụng hồ sơ cung cấp với chứng chỉ phân phối được liên kết với công ty có tên Connexxa S.R.L”.
Mặc dù biến thể iOS của Exodus tỏ ra kém tinh vi hơn so với phiên bản trên Android, những phần mềm gián điệp này vẫn có thể lọc thông tin cá nhân cơ bản và quan trọng từ các thiết bị iPhone bị nhắm mục tiêu bao gồm, danh bạ, ghi âm, ảnh, video, vị trí GPS và thông tin thiết bị.
Dữ liệu bị đánh cắp sau đó sẽ được truyền đi thông qua các yêu cầu PUT HTTP đến điểm cuối trên máy chủ chỉ huy và kiểm soát (command and control server) của kẻ tấn công, đó là một cơ sở hạ tầng CnC giống như được dùng với phiên bản Android, đồng thời cũng sử dụng các giao thức truyền thông tương tự.
Bên cạnh đó, một số chi tiết kỹ thuật cũng chỉ ra rằng Exodus "có thể là sản phẩm của một dự án phát triển mã độc gián điệp được tài trợ" và nhằm mục đích nhắm vào chính phủ hoặc các cơ quan thực thi pháp luật của nhà nước.
"Cơ chế vận hành của mã độc này bao gồm việc sử dụng ghim chứng chỉ (certificate pinning), mã hóa khóa chung cho giao thức truyền thông C2 (C2 communications), và bộ tính năng giám sát toàn diện được triển khai tốt”, các nhà nghiên cứu cho biết.
Được phát triển bởi một công ty trụ sở tại Ý có tên Connexxa S.R.L., Exodus xuất hiện trên Android vào cuối tháng trước khi một số hacker mũ trắng đến từ tổ chức Security Without B Border phát hiện gần 25 ứng dụng khác nhau được ngụy trang thành các phần mềm dịch vụ trên Google Play Store. Tất nhiên những ứng dụng độc hại này cũng đã được gã khổng lồ công nghệ gỡ bỏ ngay lập tức sau khi nhận được thông báo.
Theo thông tin mà các nhà nghiên cứu bảo mật thu được thì Exodus đã được phát triển trong vòng ít nhất 5 năm. Ngoài ra, Exodus trên Android thường bao gồm 3 giai đoạn triển khai riêng biệt. Đầu tiên, mã độc sẽ tiến hành thu thập các thông tin nhận dạng cơ bản, như IMEI và số điện thoại của thiết bị được nhắm mục tiêu. Giai đoạn thứ hai bao gồm nhiều gói nhị phân có nhiệm vụ cùng triển khai một bộ chức năng giám sát. Cuối cùng, ở giai đoạn thứ ba, mã độc sẽ sử dụng khai thác DirtyCOW “khét tiếng” (CVE-2016-5195) để giành quyền kiểm soát root đối với các điện thoại bị lây nhiễm. Sau khi cài đặt thành công, Exodus có thể thực hiện số lượng lớn yêu cầu gián điệp trên thiết bị mà rất khó bị phát hiện. Bên cạnh đó, biến thể Android cũng được thiết kế để tiếp tục chạy trên thiết bị bị lây nhiễm ngay cả khi người dùng tắt màn hình.
Trong khi phiên bản Android của Exodus có khả năng đã lây nhiễm trên “vài nghìn thiết bị hoặc nhiều hơn”, thì hiện tại vẫn chưa thể thống kê được có bao nhiêu iPhone bị lây nhiễm biến thể Exodus iOS.
Sau khi được các nhà nghiên cứu của Lookout thông báo về phần mềm gián điệp Exodus, Apple đã ngay lập tức thu hồi chứng chỉ doanh nghiệp, ngăn không cho các ứng dụng độc hại được cài đặt trên iPhone mới và chạy trên các thiết bị bị lây nhiễm.
Đây là trường hợp thứ hai chỉ trong vòng 1 năm trở lại đây một công ty phần mềm của Ý bị bắt gặp đang phân phối những ứng dụng gián điệp. Đầu năm ngoái, một công ty khác có trụ sở tại quốc gia châu Âu này cũng đã bị “bắt quả tang” đang phân phối "Skygofree", một công cụ gián điệp nguy hiểm được thiết kế dành riêng cho Android, giúp tin tặc chiếm quyền kiểm soát hoàn toàn đối với các thiết bị lây nhiễm từ xa.