[Hackmeeting] exodus

This message is part of the following thread:
Mthe complete thread tree sorted by date
M 
MGio at ->
Delete this message

Reply to this message
Author: samba
Date:  
To: hackmeeting
Subject: [Hackmeeting] exodus

c'e' un azienda nostrana chiamata che a parte fare videosorveglianza ha
iniziato a fare spyware e malware e li mette su play store di google con
nomi tipo: Assistenza Linea, Offerte Speciali, etc...

> “Abbiamo identificato copie di uno spyware precedentemente sconosciuto che sono state caricate con successo sul Google Play Store più volte nel corso di oltre due anni. Queste applicazioni sono normalmente rimaste disponibili su Play Store per mesi,”

Oggi e' uscito questo articolo su vice con tanto di report tecnico fatto
da security without border. Parlandone in canale #hackit99 oggi ci siamo
confrontati al volo e vale la pena fare un approfondimento inoltre,
pensavo, magari ha senso anche discuterne qui in lista per chi ha
interesse.


Per come scritto il malware ha diversi modi di intercettazione, alcune
modifiche poi preoccupano particolarmente perche' lasciano il telefono
aperto e volnerabile anche ad altri attaccanti che possono compromettere
o modificare nuovamente il telefono


> "Exodus is equipped with extensive collection and interception capabilities. Worryingly, some of the modifications enforced by the spyware might expose the infected devices to further compromise or data tampering."

Sembra che l'app una volta installata e infettato il telefono esegue una
fuzione chiamata CheckValidTarget che verifica se tra i vari device
infettati quello corrente e' il device giusto da spiare mandando IMEI e
altri dati al centro di controllo

> "The purpose of Exodus One seems to be to collect some basic identifying information about the device (namely the IMEI code and the phone number) and send it to the Command & Control server. This is usually done in order to validate the target of a new infection. This is further corroborated by some older and unobfuscated samples from 2016, whose primary classes are named CheckValidTarget."

ecco, ma cosa fa sto malware?

colleziona dati tipo: applicazioni installate, chiamate effettuate,
registra dal microfono e salva i file in formato 3gp, fa foto con la
camera, prende info sulle celle vicine, prende e salva i numeri della
rubrica, fa screenshot di tutte le app in background, prende tutti gli
SMS, prende tutte le conversazioni di WA, GTALK, MESSENGER, SKYPE,
VIBER, GMAIL, TELEGRAM, prende la password di tutti i wifi salvati,
prende le coordinate GPS, ...

fondamentalmente spia: salva le cose e cattura tutto quello che e'
disponibile su un telefonino (a parte signal) e lo manda su un qualche
server di questa azienda


l'azienda www.esurv.it ha oscurato il sito e non risponde alle domande
dei giornalisti(boh!) cmq se volete vedere com'era c'e' sempre archive:
https://web.archive.org/web/20190114193603/http://www.esurv.it/


e voi..
cosa ne pensate di questa gente che fa malware e lascia vulnerabili i
cell a casaccio cosi?
cosa ne pensate del uso di malware massiccio che sta avvenendo in giro,
non solo in italia?
ha senso cercare di proteggersi, identificarlo, cosa consigliate in casi
come questi ?

insomma come e cosa pensiamo|facciamo|consigliamo?



articolo
https://motherboard.vice.com/it/article/7xnyy9/malware-exodus-infettati-1000-italiani-app-nascosta-google-play-store

analisi tecnica
https://securitywithoutborders.org/blog/2019/03/29/exodus.html



Open your eyes and look within:
Are you satisfied with the life you're living? 

                        -- exodus bob-marley





--
ɐqɯ@s
This message was posted to the following mailing lists:
hackmeeting
Mailing List Info | Nearby Messages		<-Re: [Hackmeeting] mastodonRe: [Hackmeeting] mastodon->
lists.autistici.org administrated by postmasterLurker (version 2.3)