Det har blitt oppdaget ondsinnede iOS-apper som overvåker brukerne. Det er dog noe uklart hvordan de målrettede appene faktisk blir installert. Det skjer ikke via Apples App Store. Ofrene for spionasjeoperasjonen skal blant annet være anti-russiske aktører i Ukraina-konflikten. (Bilde: Marius Jørgenrud)

Mystisk spionvare rammer iOS-enheter

Infiserer på ukjent måte.

Trend Micro kom denne uken med en rapport om to ondsinnede applikasjoner for iOS-enheter som skal være knyttet til en pågående økonomisk og politisk kyberspionasjonasje-operasjon som kalles for Operation Pawn Storm.

Den ene appen kalles for XAgent, mens den andre heter MadCap, som også er navnet på et legitimt spill for iOS.

Begge skal ha klare likheter med SEDNIT, en allerede kjent skadevare for Windows.

Jailbreak?

Skadevare for iOS er ikke særlig vanlig, og ofte kreves det at enhetene er «jailbroken». Dette skal være tilfellet med MadCap, men XAgent krever ikke dette. I stedet brukes Apples «ad hoc provisioning», en standardmetode som app-utviklere kan bruke til å distribuere apper til et begrenset antall enheter.

XAgent-appen installeres dersom brukeren klikker på en lenke på en webside. Nøyaktig hvordan selve installasjonen skjer, er foreløpig ukjent. Men Trend Micro mistenker at enhetene er kompromitterte på forhånd.

Kodestrukturen til XAgent-spionvaren.
Kodestrukturen til XAgent-spionvaren. Bilde: Trend Micro

Lytter

XAgent-spionvaren oppgis å være fullt funksjonell. Den kjøres skjult i bakgrunnen, har intet synlig ikon og starter opp nesten umiddelbart dersom prosessen blir avsluttet. Dette gjelder dog bare når den kjøres på iOS 7-enheter. På iOS 8-enheter er den ikke like skjult og vil heller ikke starte på nytt automatisk. Trend Micro mener dette tyder på at den er laget før iOS 8 ble gitt ut i september i fjor. Men fortsatt er det 28 prosent av iOS-brukerne som ikke har oppgradert til iOS 8.

Appen er designet for å samle inn all slags informasjon på iOS-enheter, inkludert tekstmeldinger, kontaktlister, bilder, posisjonsdata og data om apper, prosesser og WLAN-tilknytninger. Dessuten kan den starte lydopptak og sende dataene via en HTTP-forbindelse.

Fordi MadCap krever at enhetene er jailbroken, er den kanskje ikke like interessant. Funksjonaliteten er først og fremst knyttet til lydopptak.

Til toppen