I ricercatori di sicurezza della società Lookout hanno scoperto che una versione dello spyware Exodus, originariamente destinato ai dispositivi Android, ha preso di mira anche dispositivi iOS dopo che i suoi sviluppatori – a quanto pare la società italiana eSurv/Connexxa – hanno abusato dei certificati che Apple emette per l’uso interno delle app iOS.

Si tratta di un’app camuffata da utility di assistenza telefonica e che, una volta installata, può raccogliere in maniera indiscriminata contatti, registrazioni audio, foto, video e altre informazioni tra cui anche le coordinate geografiche in tempo reale, oltre alla possibilità di essere attivata da remoto per ascoltare conversazioni telefoniche.

Exodus, del quale abbiamo parlato la scorsa settimana, ha colpito centinaia di utenti con le sue ampie capacità di spionaggio e con la possibilità di scaricare un exploit aggiuntivo che permette di ottenere i privilegi di root del dispositivo, dando un accesso pressoché completo a tutte le informazioni presenti sul dispositivo su cui è installato.

Stando alle informazioni divulgate dai ricercatori, entrambe le app fanno uso della stessa infrastruttura di backend ma la versione per iOS usa alcune tecniche per rendere difficile analizzare il traffico di rete. Si tratterebbe, secondo i ricercatori, di un indizio che suggerisce come dietro le quinte vi sia un gruppo di professionisti.

La versione per Android era liberamente disponibile sul Google Play Store, mentre la versione per iOS è stata distribuita senza passare per l’App Store in quanto sarebbe finita tra le maglie del controllo di Apple. Come è stato possibile, quindi, distribuire un’app per iOS funzionante senza utilizzare il canale tradizionale? I ricercatori spiegano che, come accennato poco sopra, gli sviluppatori dello spyware hanno sfruttato i certificati enterprise che Apple emette agli sviluppatori e la cui destinazione d’uso è strettamente interna e non per app da distribuire al pubblico.

Dopo che i ricercatori hanno divulgato le loro scoperte, Apple ha revocato i certificati, mettendo così fuori gioco le app di eSurv/Connexxa distribuite con questo stratagemma. Dato, tuttavia, che l’app non è stata distribuita tramite App Store ma solo tramite siti web camuffati da quelli di operatori di telefonia cellulare non è chiaro quale possa essere l’estensione del problema, che si può comunque supporre essere relativamente limitata.