Les chercheurs en cybersécurité ont trouvé une version iOS de la puissante application de surveillance des téléphones mobiles qui visait au départ les appareils Android via des applications sur la boutique officielle Google Play.


Appelée Exodus, comme le logiciel malveillant, la version iOS du logiciel espion a été décelée par les chercheurs en sécurité de LookOut lord de leur enquêtes des échantillons Android qu’ils avaient trouvés l’an dernier.


A la différence de sa version Android, la version iOS d’Exodus a été répartie en dehors de l’App Store officiel, par le biais de sites de phishing qui imitent des opérateurs mobiles italiens et turkmènes.

Dans la mesure où Apple restreint l’installation directe d’applications hors de son App Store officiel, la version iOS d’Exodus utilise de façon abusive le programme Apple Developer Enterprise, donnant la possibilité aux entreprises de faire diffuser directement leurs propres applications internes à leurs salariés sans avoir besoin de l’App Store iOS.

«Chaque site de phishing comportait des liens menant à un registre de distribution, qui incluait des métadonnées relatives au nom, à la version, à l’icône et à l’URL du fichier IPA », soulignent les chercheurs dans un article du blog.

«Tous ces colis se servaient de profils de ravitaillement avec des attestations de distribution rattachées à la société Connexxa S.R.L»


Même si la variante iOS soit moins performante que son homologue Android, le logiciel espion peut être capable d’extraire les informations des périphériques iPhone ciblés, dont les contacts, enregistrements audio, photos, vidéos, position GPS et informations sur les périphériques.


Les informations dérobées sont alors envoyées à travers des requêtes HTTP PUT à un terminal sur le serveur de contrôle et de commande sous le contrôle des hackers, qui se trouve être la même infrastructure CnC que la version Android et utilise les mêmes protocoles de communication.

De nombreux éléments techniques ont montré qu’Exodus représentait «vraisemblablement le produit d’un travail de développement bien subventionné» et avait pour objectif de cibler les secteurs gouvernementaux ou les forces de l’ordre.

«Il y avait entre autres le recours à l’épinglage par certificat et au cryptage à clé publique pour les communications C2, les restrictions géographiques imposées par le C2 lors de la deuxième étape et l’ensemble complet et bien mis en œuvre de fonctions de surveillance,» disent les chercheurs.


Conçu par la société italienne Connexxa S.R.L., Exodus a fait surface à la fin du mois dernier au moment même où des pirates en chapeau blanc de Security Without Borders ont trouvé sur Google Play Store pas moins de 25 applications différentes dissimulées comme application de service, à la suite desquelles le géant technologique les a enlevées à la notification qui a été reçue.

En développement depuis au moins cinq ans, Exodus pour Android est composé en général de trois phases distinctes. Tout d’abord, il y a un petit compte-gouttes qui rassemble des données d’identification basiques, par exemple l’IMEI et le numéro de téléphone, sur l’appareil visé.

La seconde phase comprend de multiples paquets binaires utilisant une série de fonctionnalités de surveillance bien mises en œuvre.

Finalement, la troisième phase utilise le fameux DirtyCOW exploit (CVE-2016-5195) afin de prendre le plein contrôle des mobiles contaminés. Une fois installé avec succès, Exodus peut réaliser une surveillance de grande envergure.

La variante Android est aussi configurée de manière à continuer à fonctionner sur l’appareil contaminé même quand l’écran ne s’allume pas.

Bien que la version Android d’Exodus ait pu infecter «plusieurs centaines sinon mille ou plus» d’appareils, on ne sait pas encore clairement combien d’iPhones étaient contaminés par la version iOS Exodus.

Après que les chercheurs de Lookout ont signalé l’existence du logiciel espion, Apple a retiré le certificat d’entreprise, bloquant alors l’installation d’applications malveillantes sur les nouveaux iPhones et leur exécution sur les appareils contaminés.

Cela fait deux fois au cours de l’année écoulée qu’une société italienne de logiciels espions est prise en flagrant délit de diffusion de spywares. Au début de l’année dernière, une autre firme italienne a été trouvée en train de distribuer «Skygofree», un outil d’espionnage Android dangereux donnant la possibilité aux pirates de manipuler complètement à distance des appareils contaminés.