Apple frena un programa espía que utilizaba certificados de autentificación corporativos para atacar a sus clientes

Un nuevo programa espía para iOS se ha abierto paso entre los usuarios para invadir su privacidad y robar su información personal. La aplicación Assistenza SIM y el programa malicioso que distribuye, que recibió el nombre de Exodus, llevan meses atacando a los usuarios de Android, pero su nueva versión para iOS acaba de ser descubierta.

El malware irrumpe en los dispositivos de sus víctimas para robar los contactos, videos e imágenes que almacenan los teléfonos. El programa malicioso también comparte la ubicación de sus víctimas con los cibercriminales e interviene las llamadas telefónicas de los dispositivos afectados para compartirlas con terceras personas sin autorización.

Tanto las versiones para Android como las de iOS se hacían pasar por aplicaciones desarrolladas por operadores de teléfonos móviles de Turmekistan y ofrecían ayuda para instalar servicios y conectar a los usuarios con los operadores. La versión para Android de esta amenaza se había expandido hacia cientos de teléfonos, consiguiendo así el acceso a las contraseñas de redes Wi-Fi almacenadas, al contenido de sus mensajes de correo electrónico de sus víctimas y a los datos de acceso a otras aplicaciones como Facebook, Gmail, WhatsApp, Viber y WeChat.

Los investigadores de la empresa de seguridad Lookout llevaban un año haciendo el seguimiento de Exodus, que comenzó siendo un programa espía para usuarios de Android y con el tiempo fue mutando para incluir a los de Apple. Cuando los investigadores descubrieron que la amenaza se estaba expandiendo hacia los dispositivos iOS alertaron a Apple, que reaccionó de inmediato revocando el certificado corporativo de autentificación de la aplicación. Esto quita a la aplicación maliciosa el permiso para seguir instalándose en dispositivos iOS aun si se la descarga de mercados pirata fuera de la App Store.

No es la primera vez que una banda de cibercriminales le saca provecho a las vulnerabilidades de seguridad de los certificados corporativos de autentificación. Es común que se le dé un mal uso a estos certificados y se los explote para hacer circular aplicaciones maliciosas, muchas veces vinculadas con redes de prostitución, apuestas y contenido ilícito prohibido por la Apple Store.

En el caso de Assistenza, tanto su versión para Android como la de iOS comparten la misma infraestructura, pero la de iOS utiliza varias técnicas adicionales para dificultar el análisis del tráfico de redes. “Ese fue uno de los indicadores de que el programa había sido desarrollado por un grupo profesional”, dijo Adam Bauer, ingeniero de inteligencia de seguridad de Lookout.

Los investigadores no han develado cuál era el público al que estaban dirigidos los ataques del programa espía, pero sospechan que las versiones más antiguas del malware fueron desarrolladas usando la infraestructura de la compañía italiana Connexxa. Estas sospechas se basan en que los certificados corporativos de autentificación del malware estaban a nombre de la compañía y el programa estaba firmado por un ingeniero de esta empresa.

Conexxa a su vez está vinculada con la empresa de espionaje eSurv S.R.L., que desarrolla sistemas de vigilancia de video, sistemas de reconocimiento de imágenes y de espionaje de teléfonos. Pero a pesar de las sospechas, no se ha hecho ninguna afirmación sobre el origen del malware ni se tiene ninguna certeza sobre los responsables. Lo que sí queda confirmado es que descargar aplicaciones que no han pasado por el filtro de seguridad de la tienda oficial de aplicaciones de Apple deja a los usuarios expuestos a riesgos que podrían ser evitados.

Fuentes
Spyware app abused iOS enterprise certificate to track targets • The Verge
Lookout discovers phishing sites distributing new iOS and Android surveillanceware • Lookout Blog
A powerful spyware app now targets iPhone owners • Tech Crunch