Le mois dernier, des membres et associés de Security Without Borders ont dévoilé l'existence d'un spyware pour Android dénommé Exodus, et avec une présence dans une vingtaine d'applications différentes ayant été mises en ligne sur le Google Play Store au cours des deux dernières années (elles ont été retirées).
Développé par l'éditeur italien Connexxa connu pour des outils de surveillance fournis aux autorités italiennes, Exodus était capable de rooter un appareil Android, d'exfiltrer diverses sortes de données, voire de prendre le contrôle d'un appareil. De quoi rappeler le cas de Skygofree.
Des chercheurs en sécurité de Lookout ont découvert une version iOS du spyware Exodus. Elle n'a pas été diffusée via l'App Store d'Apple mais par l'entremise de sites de phishing usurpant l'identité d'un opérateur mobile italien et turkmène.
If you are at #SAS2019, don't miss Adam Bauer's talk on 4/10 at noon! Adam will be presenting on new iOS and Android surveillanceware: https://t.co/lGzlHqddt8 pic.twitter.com/qkkwdV3iNY
— Lookout (@Lookout) 9 avril 2019
La version iOS du spyware est jugée bien moins sophistiquée et intrusive que la version Android, et a priori en cours de développement. Les applications iOS infectées ont été signées avec des certificats d'entreprise émis par Apple, d'où la possibilité d'une installation en dehors de l'App Store.
Ces certificats ont été révoqués par Apple. Ce n'est en tout cas pas la première fois que le Developer Enterprise Program d'Apple est la victime de détournements qui peuvent parfois être malveillants.