Exodus: el complejo spyware que ha logrado infectar a usuarios de iPhone sin levantar sospechas

Cuando hablamos de malware para smartphones el sistema operativo que nos viene a la cabeza es Android, sistema que, desde sus inicios, ha tenido un grave problema con este tipo de software no deseado debido principalmente a la libertad que ha dado Google en cuanto a la forma de usar su sistema e instalar aplicaciones desde fuentes no oficiales, y a los pocos controles que la compañía aplica a las apps que se publican en la Play Store. iOS, por el contrario, se trata de un sistema mucho más cerrado y controlado por Apple, no siendo posible instalar apps de fuera de la App Store y con muchos más controles en su tienda de aplicaciones. Aunque nada es infalible.

Un grupo de investigadores de seguridad de Kaspersky han hecho pública la aparición de un nuevo malware para iOS, llamado Exodus, que ha sido capaz de saltarse la seguridad del ecosistema de Apple e infectar de forma masiva dispositivos de la compañía por todo el mundo.

Exodus es un software espía muy conocido dentro del ecosistema Android, uno de los spyware más complejos y completos vistos en la red. Este software espía se encarga de acceder a las fotos y los vídeos que la víctima guarda en su dispositivo, además de realizar grabaciones de audio, acceder a los contactos, rastrear la ubicación de las víctimas y escuchar conversaciones a través del micrófono.

Exodus para iOS fue diseñado pensando en una aplicación que se hiciera pasar por una app legítima de soporte de un operador, y los piratas informáticos utilizaban complejas técnicas de phishing para hacer llegar el spyware a los usuarios, spyware que se podía instalar sin necesidad de pasar por la App Store de iOS gracias a una de las principales debilidades del ecosistema de Apple: los certificados empresariales.

Los piratas informáticos utilizaban un certificado de distribución empresarial para firmar el malware Exodus en iOS

Gran parte de la seguridad de iOS se debe a que este sistema operativo no deja instalar aplicaciones que no hayan pasado por la App Store, al menos que hagamos jailbreak al dispositivo y utilicemos tiendas de aplicaciones de terceros, como Cydia, para descargar y usar aplicaciones evadiendo los certificados.

Sin embargo, Apple oculta en iOS una característica pensada para empresas que permite utilizar un certificado empresarial, que se puede conseguir fácilmente por 300 dólares, de manera que los usuarios de iOS puedan instalar aplicaciones sin tener que pasar por la App Store. Esta técnica es utilizada por compañías que ofrecen servicios para instalar apps pirata en iOS sin necesidad de Jailbreak y, por supuesto, por los piratas informáticos.

Los piratas informáticos tras el desarrollo de Exodus firmaban el spyware con uno de estos certificados haciéndose pasar por una app de soporte de operadores de diferentes países de manera que los usuarios pudieran instalarla en sus dispositivos sin pasar por la App Store. Una vez instalada, el malware tenía acceso absoluto a todo el dispositivo, tanto a las fotos y vídeos como a los identificadores, las llamadas, la ubicación, etc. A diferencia de como actúa este malware en Android, que se aprovecha de vulnerabilidades y fallos en el sistema, todo lo que hace en iOS lo hace a través de las propias API de Apple documentadas para desarrolladores, sin aprovecharse de vulnerabilidades.

No se sabe mucho más sobre los piratas informáticos que están detrás del malware Exodus, aunque se cree que esta amenaza pudo haber sido creada por la compañía italiana eSurv, una empresa de videovigilancia que adquirió además en 2016 otra forma llamada Connexxa. Toda la infraestructura de Exodus muestra un gran nivel de profesionalidad cuidando desde el propio malware hasta el software de control.

El descubrimiento de Exodus para iOS demuestra una vez más que, por muy seguro que sea un sistema operativo, no hay nada infalible, se llame Android, iOS, Windows, Linux o Mac.