Onderzoekers van het Japanse anti-virusbedrijf Trend Micro hebben spyware ontdekt die speciaal voor iOS-toestellen is ontwikkeld en bij cyberspionage is ingezet. Hoe de spyware precies wordt verspreid is onbekend, maar de onderzoekers denken dat eerder geïnfecteerde computers worden gebruikt. Zodra een iPhone of iPad op de besmette computer wordt aangesloten, wordt de spyware geïnstalleerd.
Het gaat om twee kwaadaardige iOS-applicaties genaamd XAgent en Madcap, waarbij de laatste de naam van een legitieme applicatie is. De XAgent-app verbergt het icoon en draait in de achtergrond. Zodra het proces wordt gestopt zal de malware zich bijna direct weer herstarten. Eenmaal actief probeert de spyware sms-berichten, adresboeken, foto's, geo-locatiegegevens, processen, geïnstalleerde apps en wifi-status te verzamelen. Ook worden er audio-opnamen gemaakt.
Het lijkt erop dat de malware voor iOS 7 is ontwikkeld, aangezien XAgent hier volledig op functioneert. In het geval van iOS 8 wordt het icoontje van de spyware niet verborgen en kan de app zichzelf ook niet automatisch herstarten. Voor zover bekend zou de spyware tegen allerlei doelen zijn ingezet, waaronder overheden, militaire organisaties, de defensie-industrie en de media.
"De exacte installatiemethode van deze malware is onbekend. We weten dat een iOS-toestel niet per se gejailbreakt hoef te zijn", aldus de onderzoekers. XAgent gebruikt bijvoorbeeld Apple’s ad hoc provisioning, wat de standaard distributiemethode voor iOS app-ontwikkelaars is. Via ad hoc provisioning kan de malware simpelweg worden geïnstalleerd door op een link te klikken. De malware bleek met een iOS Developer Enterprise certificaat te zijn gesigneerd. Een andere mogelijke infectiemethode is het via USB aansluiten van een iPhone of iPad op een besmette Windowscomputer.
Deze posting is gelocked. Reageren is niet meer mogelijk.