اضغط على الصورة لتكبير الصورة
اكتشف الباحثون مؤخرًا هاتفًا محمولًا ممولًا جيدًا عملية المراقبة التي كانت قادرة على سرقة خلسة مجموعة متنوعة من البيانات من الهواتف التي تعمل بنظامي iOS و Android أنظمة التشغيل. يعتقد الباحثون أن البرمجيات الخبيثة تسمى “اعتراض قانوني” البرامج المباعة لإنفاذ القانون و الحكومات.
Exodus ، كما تم تسمية البرامج الضارة لهواتف Android ، كان تحت التطوير لمدة خمس سنوات على الأقل. كان ينتشر في التطبيقات متنكرا في زي تطبيقات الخدمة من مشغلي المحمول الإيطالي. تم إخفاء Exodus داخل التطبيقات المتاحة على مواقع التصيد و ما يقرب من 25 تطبيقًا متوفرًا على Google Play. في تقرير نشر اثنين قبل أسابيع ، قال باحثون في الأمن بلا حدود Exodus الهواتف المصابة تقدر أن تكون في “عدة مئات إن لم يكن ألف أو أكثر. ”
تألف الخروج من ثلاث مراحل متميزة. الأول كان صغيرًا بالقطارة التي جمعت معلومات تحديد الأساسية حول الجهاز ، مثل theimei ورقم الهاتف ، وإرسالها إلى خادم القيادة والسيطرة. تم تثبيت المرحلة الثانية تقريبا مباشرة بعد اختبار الهاتف الباحثين أصيب المرحلة الأولى ، وكذلك أبلغت إلى خادم التحكم. التي أدت يعتقد الباحثون أن جميع الهواتف المصابة بالمرحلة الأولى هي المصابة بشكل عشوائي مع مراحل لاحقة.
تألفت المرحلة الثانية من حزم ثنائية متعددة تم تنفيذها الجزء الأكبر من قدرات المراقبة المتقدمة. قليلا من ال المتغيرات الاتصالات المشفرة مع شهادات موقعة ذاتيا التي كانت مثبتة على التطبيقات. الثنائيات يمكن أن تأخذ أيضا الاستفادة من القدرات المتاحة على أجهزة محددة. إلى عن على على سبيل المثال ، استفاد ثنائي واحد من “protectتطبيق s” ، وهي ميزة في هواتف Huawei ، للحفاظ على Exodus يعمل حتى عندما ذهبت الشاشة الظلام ، بدلا من أن يعلق للحد من استهلاك البطارية.
ستحاول المرحلة الثالثة السماح لـ Exodus بالتحكم في الجذر هاتف مصاب ، على الرغم من أن استخدام استغلال يطلق عليها اسم DirtyCOW. مرة واحدة مثبتة بالكامل ، كان Exodus قادرة على تنفيذ كمية واسعة من المراقبة ، بما في ذلك:
- استرجع قائمة التطبيقات المثبتة
- سجل محيط باستخدام الميكروفون المدمج في 3GP شكل
- استرداد سجل التصفح والإشارات من Chrome و SBrowser (المتصفح الذي يتم شحنه مع هواتف Samsung)
- استخراج الأحداث من تطبيق التقويم
- استخراج سجل المكالمات
- سجل المكالمات الهاتفية الصوتية بتنسيق 3GP
- التقاط الصور مع الكاميرا المدمجة
- جمع المعلومات حول الأبراج الخلوية المحيطة (BTS)
- استخراج دفتر العناوين
- استخرج قائمة جهات الاتصال من تطبيق Facebook
- استخراج السجلات من محادثات Facebook Messenger
- التقط لقطة شاشة لأي تطبيق في المقدمة
- استخراج المعلومات على الصور من المعرض
- استخراج المعلومات من تطبيق Gmail
- تفريغ البيانات من تطبيق IMO messenger
- استخراج سجلات المكالمات وجهات الاتصال والرسائل من سكايب تطبيق
- استرجع كل الرسائل النصية
- استخراج الرسائل ومفتاح التشفير من Telegram app
- تفريغ البيانات من تطبيق Viber messenger
- استخراج سجلات من WhatsApp
- استرداد الوسائط المتبادلة من خلال WhatsApp
- استخرج كلمة مرور شبكة Wi-Fi
- استخراج البيانات من تطبيق WeChat
- استخراج إحداثيات GPS الحالية للهاتف
تم اكتشاف رابط iOS المفقود
في بلوق وظيفة من المتوقع أن تنشر الاثنين ، والباحثين من وقال مزود الأمن المحمول تحليلهم ل Exodus أدى إلى اكتشاف خوادم ، بالإضافة إلى Exodux ، استضافت iOS نسخة من البرامج الضارة. البرمجيات الخبيثة للمراقبة فون وزعت على مواقع التصيد التي تنكر الإيطالية والإيطالية شركات المحمول التركمانية. لقطات من الموقعين أدناه:
تكبير Lookout
EnlargeLookout
تم تثبيت إصدار iOS باستخدام Apple Developer برنامج Enterprise ، والذي يسمح للمؤسسات بالتوزيع تطبيقات داخلية للموظفين أو الأعضاء دون استخدام تطبيق iOS متجر. تنكر التطبيقات على أنها تطبيقات مساعدة شركة المحمول طلب من المستخدمين “الحفاظ على التطبيق مثبتًا على جهازك والبقاء تحت تغطية Wi-Fi للاتصال بأحد المشغلين لدينا. ”
تستخدم شهادة Apple الرقمية الصادرة لتوزيع تم ربط تطبيقات iOS الضارة بشركة مقرها إيطاليا دعا Connexxa S.R.L. أجهزة iPhone المصابة متصلة أيضًا بالمجالات وعناوين IP التي تنتمي إلى Connexxa. Connexxa هو نفسه شركة إيطالية تم استخدام مجالاتها وعناوين IP الخاصة بها بواسطة Exodus. مهندس Connexxa الذي يبدو أنه يمتلك أسهم في الشركة أيضًا وقعت رقميا بعض إصدارات Exodus.
Enlarge/ شهادة مؤسسة Apple المستخدمة لتثبيت المراقبة apps on iPhones. منذ ذلك الحين ألغت شركة أبل it.Lookout
ظهور Connexxa في الشهادة الرقمية الصادرة من Apple ، دورها في البنية التحتية للخادم المستخدمة من قبل كل من Exodus و توفر تطبيقات iOS والخوادم التي تستضيف Exodus وتطبيقات iOS الباحثون على درجة عالية من الثقة في أن كل حزم البرمجيات الخبيثة هي عمل نفس المطورين. وقال الباحثون أن أ شركة تدعى eSurv S.R.L. شارك أيضا. كان eSurv مرة واحدة في وحدة أعمال Connexxa وتم تأجيرها إلى eSurvS.R.L. in2014. في عام 2016 ، تم بيع برنامج والعلامة التجارية eSurv من Connexxa إلى eSurv S.R.L.
ليس من الواضح عدد أجهزة iPhone المصابة بتطبيقات iOS. متغير iOS ليس متطورًا كما كان Exodus. مختلف Exodus ، لم يلاحظ استخدام إصدار iOS لاستخدام عمليات الاستغلال. في حين أن، انها تعتمد على واجهات البرمجة الموثقة. كان مع ذلك قادر على اختبار مجموعة متنوعة من البيانات الحساسة بما في ذلك:
- جهات الاتصال
- التسجيلات الصوتية
- الصور
- أشرطة فيديو
- موقع GPS
- معلومات الجهاز
علامات حكاية
لأن متغير iOS اعتمد على واجهات برمجة التطبيقات المقدمة من Apple ، قدمت البرمجيات الخبيثة للمستخدمين في حالة تأهب مع بعض علامات حكاية من شأنها أن نبهت المستخدمين اليقظين إلى أن بياناتهم الحساسة كانت قيد التنفيذ تتبعها. على سبيل المثال ، أول مرة حاول فيها البرنامج الضار الوصول إلى بيانات الموقع ، والهاتف المصاب قد عرض بعد الحوار ، طلب الإذن:
EnlargeLookout
قام الباحثون بالكشف عن نتائج بحثهم لشركة Apple و ألغت الشركة شهادة المؤسسة. الإلغاء لديه تأثير منع تثبيت التطبيقات على أجهزة iPhone الجديدة ومنعهم من التشغيل على الأجهزة المصابة. الباحثون الذين اكتشف Exodus أبلغت النتائج التي توصلت إليها إلى جوجل ، و إزالة شركة ما يقرب من 25 تطبيقات من جوجل بلاي.