Trend Micro ha scoperto un’app per iOS che permette ai cybercriminali di rubare i dati personali della vittima designata. Secondo la software house, lo spyware è stato progettato per proseguire la campagna di spionaggio avviata lo scorso anno, i cui bersagli sono militari, governi e giornalisti. Operation Pawn Storm sembrerebbe collegata alla crescente tensione tra Europa e Russia, dovuta alla crisi in Ucraina.
Il malware, denominato XAgent, è uno dei più avanzati in circolazione. Il codice è ben fatto e viene aggiornato con regolarità. Inoltre può essere installato anche sui dispositivi Apple senza jailbreak. L’utente viene indotto all’installazione dello spyware attraverso un attacco spear phishing e avanzate tecniche di ingegneria sociale. Il cybercriminale crea un sito in cui è presente un link ad un’applicazione legittima. Quando l’utente clicca sul link, viene in realtà installato il file XAgent.plist in modalità wireless, utilizzando il metodo di distribuzione ad hoc provisioning degli sviluppatori.
iOS visualizza un avviso quando si tenta di installare un’app esterna allo store ufficiale, ma molti utenti non leggono il messaggio e toccano il pulsante OK senza prestare attenzione. Su iOS 7 non viene mostrata nessuna icona e l’app viene eseguita in background. Se si ferma il processo, l’app si riavvia automaticamente. Fortunatamente, su iOS 8 l’icona è visibile e l’app non si riavvia, quindi può essere facilmente individuata.
Una volta installato, XAgent si collega ad un server C&C (command-and-control) e invia messaggi, elenco dei contatti, immagini, lista delle applicazioni e dei processi, stato del WiFi e dati relativi alla posizione geografica. In più, effettua screenshot e avvia la registrazione audio. Insomma, un tool di spionaggio a tutti gli effetti.