Raymon Mens
Raymon Mens Nieuws 9 april 2019

Beruchte Android-spyware via achterdeurtje naar iPhone

iPhone-gebruikers zijn doorgaans goed beschermd tegen spyware en malware, terwijl dat op Android mider het geval is. Spyware op iOS is daarom ook zeldzaam. Desalniettemin heeft op Android beruchte spyware genaamd Exodus zijn weg naar de iPhone gevonden.

Dat hebben beveiligings­onderzoekers van Lookout ontdekt. De Exodus spyware is berucht omdat deze op Android contacten, audio-opnames, foto’s, video’s en andere apparaatinformatie buit kan maken. Op iOS is de impact beperkter en moet je ook behoorlijk bewust wat moeite doen om geïnfecteerd te raken.

Android-spyware op iPhone

Er word gebruik gemaakt van een achterdeurtje om met de spyware geïnfecteerde apps op de iPhone te installeren. Exodus blijkt in veel apps die buiten de App Store om worden verspreid te zitten. Officieel is het niet mogelijk om apps buiten de App Store om te installeren, maar er is een levendig ecosysteem dat zogenaamde enterprise certificaten misbruikt. Deze certificaten zijn officieel alleen voor de distributie van interne bedrijfsapps. Toch kunnen apps die met een dergelijk certificaat zijn ondertekend ook gewoon op internet geplaatst worden. Ze kunnen dan direct worden gedownload en geïnstalleerd.

Eerder schreven we al dat veel casino- en porno-apps deze methode gebruiken. De Exodus-spyware zat volgens Lookout dan ook bij veel van dit soort apps gebundeld, maar er was ook een gerichte aanval op Italiaanse iPhone-gebruikers. Een app die via nagemaakte websites van telecomproviders te downloaden was, deed zich voor als helpdesk, maar bevatte ook de Exodus spyware en vroeg om veel permissies. Uit analyse van de beveiligings­onderzoekers bleek dat de apps werden gemaakt door een partij die eerder ook malware voor Android verspreidde.

spyware app android ios 001
Klik/tap voor groter.

Hoofdpijndossier voor Apple

Hoewel de kans klein is dat een doorsnee gebruiker op iOS met deze spyware in aanraking komt, is het wel een pijnpunt voor Apple. De enterprise certificaten zijn nodig om bedrijven hun interne apps efficiënt te laten verspreiden, maar worden ook regelmatig misbruikt. Het enige dat Apple bij misbruik kan doen is het certificaat intrekken, maar dat voorkomt het natuurlijk niet.

De certificaten worden overigens niet alleen door kleine makers van malware en spyware misbruikt. Eerder dit jaar werd Facebook ook betrapt op het buiten de App Store verspreiden van een ‘spionage-app’. Apple trok de certificaten van het sociale netwerk toen in, waardoor veel ontwikkelaars bij het bedrijf hun werk niet konden doen. (Zie ook → Facebook betaalde tieners voor installeren spionage-app)

Reageer op artikel:
Beruchte Android-spyware via achterdeurtje naar iPhone
Sluiten