Apple ha confermato che 17 applicazioni malware per iPhone sono state rimosse dall’App Store, dopo essere riuscite a sfuggire ai controlli di revisione dell’azienda.
Le app erano state realizzate tutte da un singolo sviluppatore e coprivano una vasta gamma di aree, tra app che aiutavano a ricercare i ristoranti più vicini e a calcolare il BMI, un video compressor, un tachimetro GPS e così via.
Le app malware sono state scoperte dalla società di sicurezza mobile Wandera:
Queste applicazioni sembravano funzionare normalmente e facevano quello che l’utente si aspettava di trovare, ma in realtà commettevano silenziosamente delle frodi in background.
Il modulo trojan clicker scoperto in questo gruppo di applicazioni è progettato per eseguire attività correlate alle frodi pubblicitarie in background, come aprire continuamente pagine Web o fare clic su collegamenti senza alcuna interazione da parte dell’utente.
L’obiettivo della maggior parte dei trojan clicker è generare entrate per l’attaccante in base al pay-per-click gonfiando il traffico del suo sito web. Possono anche essere utilizzati effettuare un drain del budget di un concorrente gonfiando artificialmente il saldo dovuto alla rete pubblicitaria.
Sebbene non sia stato arrecato alcun danno diretto agli utenti delle app, l’attività prevede l’utilizzo di dati mobili, nonché il potenziale rallentamento del telefono e l’accelerazione del consumo della batteria.
Wandera ha affermato i maloware per iPhone hanno eluso il processo di revisione di Apple perché il codice dannoso non è stato trovato all’interno dell’app stessa, visto che ogni singola app riceveva istruzioni su cosa fare da un server remoto:
Le app comunicano con un server di comando e controllo noto (C&C) per simulare le interazioni degli utenti al fine di raccogliere fraudolentemente le entrate pubblicitarie. Command & Control consente alle app dannose di ignorare i controlli di sicurezza perché attiva un canale di comunicazione direttamente con l’attaccante che non è alla vista di Apple. I canali C&C possono essere utilizzati per distribuire annunci (come quelli utilizzati dal Clicker Trojan iOS), comandi e persino payload (come un file di immagine corrotto, un documento o altro). In poche parole, l’infrastruttura C&C è una “backdoor” nell’app che può essere sfruttata se e quando viene rilevata una vulnerabilità o quando l’attaccante sceglie di attivare un codice aggiuntivo che può essere nascosto nell’app originale.
Apple afferma che sta migliorando il processo di revisione delle app per rilevare questo tipo di approccio.
Lo stesso server controllava anche le app Android, dove gli attaccanti erano in grado di effettuare ancora più operazioni fraudolente come la raccolta di alcuni dati privati dell’utente, cosa non possibile su iOS. Il sistema Apple mira a proteggersi dal sandboxing. Ogni app ha il suo ambiente privato, quindi non può accedere ai dati di sistema o ai dati da altre app a meno che non utilizzi processi specificamente consentiti e monitorati da iOS.