Exodus-spywaren er blevet distribueret ud til Android-enheder via Google Play, mens aktøren bag tilsyneladnede har udnyttet Apple’s Developer Enterprise Program til at forsøge at liste den ondsindede software på iOS-enheder.
Det skriver Wired med henvisning til et indlæg fra sikkerhedsvirksomheden Lookout, der har kigget nærmere på distributionen af Exodus.
Ifølge indlægget hos Lookout er Exodus overvågningssoftware, der kan hive blandt andet kontakter, lokation og billeder ud af en inficeret enhed.
Lookout oplyser, det tidligere været fremme, at malwaren har ligget på Google Play, og nu kan virksomheden fortælle, at softwaren også eksisterer i en iOS-version.
Wired oplyser, det er uklart, hvorvidt Exodus har været målrettet en bredere gruppe eller enkelte individer.
Certifikater
I udgangspunktet kan der kun installeres software på en ikke-jailbreak’ed iPhone via Apples App Store eller via det såkaldte Apple Developer Enterprise-program.
Sidstnævnte kan bruges af virksomheder, som via et Apple-udstedt certifikat, kan putte egen software på eksempelvis medarbejderes telefoner.
Aktøren bag Exodus har ifølge Lookout enten ikke forsøgt eller har ikke formået at få softwaren i Apples App Store. I stedet er potentielle ofre via phishing-sider blevet gelejdet til en udgave af app’en, der har været signeret via et Apple-udvikler-certifikat.
Og på den måde har Exodus kunnet installeres på iOS uden om App Store.
Ifølge indlægget hos Lookout har iOS-udgaven af Exodus ikke været lige så sofistikeret som Android-versionen. Exodus på iOS skulle dog have været i stand til at tilgå blandt andet kontaktoplysninger, lydoptagelser og GPS-placering.
Private API'er
Solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard arbejder med blandt andet udvikling til iOS. iDeal Development har også et enterprise-certifikat til iOS.
Esben Bjerregaard bemærker, at sådan et certifikat udover at gøre det muligt at installere apps udenom App Store også giver udvidede rettigheder på telefonen.
»Kan private API’er kaldes, kan man alt muligt skummelt, som en app, der hentes fra App Store, aldrig ville kunne. Tanken med enterprise-certifikater er, at det er virksomhedens it-afdeling, der garanterer, at appen opfører sig pænt,« skriver han i en mail.
Ifølge Esben Bjerregaard giver private API'er blandt andet adgang til CoreTelephony på iOS, hvilket gør det muligt at læse SMS'er og se, hvem der ringer.
Det fremgår ikke direkte af artiklen hos Wired eller indlægget hos Lookout, hvorvidt Exodus har gjort brug af private API'er.
Hvad API-adgang angår, citerer Wired Adam Bauer fra Lookout for at sige:
»In terms of capabilities on the iOS side, they’re doing pretty much everything I’m aware of that you can do through documented Apple APIs, but they’re abusing them to do surveillance-type activities.«
Adam Bauer fremhæver desuden overfor Wired, at aktøren bag Exodus har et højt niveau af professionalisme.
Esben Bjerregaard bemærker, at Apple til hver en tid kan tilbagekalde et certifikat. Og så virker appen ikke længere.
»Brugeren skal i øvrigt godkende certifikatet, når der installeres. Det er ikke helt let at komme til ved et uheld.«
Både Exodus til iOS og Android er nu blokeret, fremgår det af Wired-artiklen.