Unos investigadores han descubierto hace poco una operación de vigilancia de teléfonos móviles bien financiada que fue capaz de robar a escondidas una gran cantidad de datos de teléfonos que ejecutan los sistemas operativos iOS y Android. La organización de privacidad Security Without Borders detectó primero el malware de Android, al que denominó Exodus. El paquete del instalador se incluyó en APKs en numerosos sitios de phishing, así como en varias aplicaciones que se colaron en la Play Store.
Este malware obtenía acceso a la root del teléfono
Los usuarios necesitaban instalar la aplicación manualmente en cualquier caso, pero era mucho más difícil hacerlo con los sitios de phishing debido a las características de seguridad de Android. No parece que Exodus se descargue solo navegando por la web, pero ese no parece ser el objetivo del creador, de acuerdo con Extremetech.
El éxodo es una pieza sofisticada de malware. La aplicación infectada incluye un dropper que recopila detalles básicos sobre el teléfono, como el IMEI y el número de teléfono. Los envía a un servidor de comando y control, que casi inmediatamente empuja hacia abajo a la siguiente fase del malware. Esta fase consta de varios paquetes binarios destinados a rastrear el dispositivo. La tercera etapa utiliza el exploit de Linux llamado DirtyCOW para intentar acceder a la root, lo que le permitiría recopilar todos los datos del teléfono.
El objetivo parece ser recabar información
Con un teléfono rooteado, Exodus sería capaz de extraer contraseñas, registros de chat, contactos y crear grabaciones de audio y video locales. Por suerte, Google aplicó parches a DirtyCOW en 2016. Por lo tanto, cualquier teléfono que se haya actualizado hace poco es inmune. Sin la tercera fase, Exodus se limita a solo recopilar datos disponibles para otras aplicaciones.
La variante de iOS era más difícil de encontrar. Esto se debe a que la distribución era algo más astuta, pero la versión antimalware Lookout la detectó. Los atacantes crearon sitios web que parecían pertenecer a operadores móviles italianos y turcos. Utilizaron el programa Enterprise Developer de Apple. Este permite a las empresas instalar aplicaciones personalizadas en los dispositivos de los empleados. Las aplicaciones pretendían ser aplicaciones de asistencia del operador móvil. Sin embargo, podían filtrar datos como contactos, fotos, ubicaciones de GPS y más.
En la actualidad, se cree que la cantidad de dispositivos infectados es bastante pequeña, en cientos o posiblemente miles. Este es un ataque controlado, lo que sugiere que hay un motivo más allá del caos general; por lo que probablemente se emplee para robar información. Es poco probable que el teléfono de un usuario corriente se vea afectado.
