| 25 октября 2019 г. — 4:16 PT
Apple подтвердила, что 17 вредоносных приложений для iPhone были удалены из App Store после того, как они успешно скрылись от процесса проверки приложений компании.
Все приложения были от одного разработчика, но охватывали широкий спектр областей, включая поиск ресторанов, интернет-радио, калькулятор ИМТ, видеокомпрессор и GPS-спидометр…
Приложения были обнаружены компанией, занимающейся безопасностью мобильных устройств, Wandera, которая заявила, что приложения делали то, что было заявлено, одновременно тайно совершая мошенничество в фоновом режиме.
Обнаруженный в этой группе приложений модуль трояна-кликера предназначен для выполнения задач, связанных с мошенничеством с рекламой, в фоновом режиме, таких как непрерывное открытие веб-страниц или клики по ссылкам без какого-либо взаимодействия с пользователем.
Цель большинства троянов-кликеров — получение дохода для злоумышленника на основе оплаты за клик путем раздувания трафика веб-сайта. Они также могут использоваться для истощения бюджета конкурента путем искусственного завышения суммы, причитающейся рекламной сети.
Хотя прямого вреда пользователям приложений нанесено не было, эта деятельность расходовала бы мобильные данные, а также потенциально замедляла работу телефона и ускоряла разрядку батареи.
Wandera заявила, что вредоносные приложения для iPhone обошли процесс проверки Apple, потому что вредоносный код находился не в самом приложении, а приложения получали инструкции о том, что делать, от удаленного сервера.
Приложения общаются с известным сервером командно-контрольной связи (C&C) для имитации действий пользователя с целью мошеннического сбора доходов от рекламы…
Командно-контрольная связь позволяет вредоносным приложениям обходить проверки безопасности, поскольку она активирует канал связи непосредственно со злоумышленником, который находится вне поля зрения Apple. Каналы C&C могут использоваться для распространения рекламы (как той, что используется трояном-кликером iOS), команд и даже полезных нагрузок (таких как поврежденный файл изображения, документ или что-то еще). Проще говоря, инфраструктура C&C — это «черный ход» в приложение, который может привести к эксплуатации, если и когда будет обнаружена уязвимость или когда злоумышленник решит активировать дополнительный код, который может быть скрыт в исходном приложении.
Apple заявляет, что совершенствует свой процесс проверки приложений для обнаружения этого подхода.
Тот же сервер управлял и приложениями для Android. По крайней мере, в одном из этих случаев более слабая безопасность Android позволила приложению нанести более прямой вред.
Приложения для Android, общающиеся с тем же сервером, собирали частную информацию с устройства пользователя, такую как марка и модель устройства, страна проживания пользователя и различные сведения о конфигурации…
Один из примеров включал пользователей, которые были мошеннически подписаны на дорогие контентные сервисы после установки зараженного приложения.
Все приложения были от AppAspect Technologies.
iOS стремится защищаться от этого путем песочницы. Каждое приложение получает свою собственную частную среду, поэтому не может получить доступ к системным данным или данным других приложений, кроме как с использованием процессов, специально разрешенных и контролируемых iOS. Однако Wandera предупреждает, что были примеры сбоя песочницы, приводя три примера этого.
Wandera — та же компания, которая предупреждала о том, как функция Siri может быть использована для фишинга технически неосведомленных пользователей iPhone. Apple подтвердила удаление 17 приложений для ZDNet.