El ecosistema de aplicaciones del
iPhone es uno de los más seguros que pueden adquirirse hoy día, gracias al gran control que ejerce
Apple sobre su
App Store. Aún así, es posible que algunas aplicaciones lleguen a superar los severos controles de seguridad. Recientemente,
unas 18 aplicaciones consiguieron diseñar técnicas de evasión para esquivar todos esos procesos de defensa. Vamos a ver cómo lo consiguieron.
Una serie de aplicaciones, las cuales iban desde una calculadora hasta incluso uno sobre cómo realizar ejercicios de yoga, aparentemente inocuas, realizaban una serie de tareas en
background un tanto oscuras. Por ejemplo, creaban anuncios invisibles los cuales generaban
clicks falsos en un sitio
web para aumentar sus ingresos por publicidad. Este tipo de
malware se llama
adware y realmente el único impacto sobre el usuario sería una disminución de la duración de la batería y posiblemente mayor consumo de datos. No existe un daño directo a la confidencialidad ni a la integridad del dispositivo, están enfocadas únicamente a sacar un beneficio económico indirecto por publicidad.
|
Figura 1. Iconos de las aplicaciones afectadas por el adware. Fuente. |
Pero lo importante no es realmente lo que hacían, sino cómo consiguieron llegar al
App Store. La empresa de seguridad
Wandera detectó una actividad inusual en una aplicación aparentemente normal, como es un simple velocímetro. Pero de repente, la aplicación conectó con un servidor de “
Command and Control“, que también ejercía la tarea de emisor de la publicidad que antes hemos mencionado. Consiguieron identificar al desarrollador de la aplicación llamado
AppAspect Technologies (India) y además vieron que tenían otras aplicaciones (17 más). Así que las instalaron y comenzaron también a monitorizarlas.
Lo curioso es que en principio, no detectaron nada extraño. De hecho durante varios días ejecutaron las aplicaciones en varios dispositivos y no vieron ninguna comunicación extraña con ningún servidor. Y aquí viene lo mejor. Las pruebas se realizaron utilizando WiFi y durante ese periodo no se activó ninguna acción maliciosa. En cambio, cuando los desarrolladores añadieron una tarjeta SIM, y después de un tiempo, comenzaron a ver actividad enviada a ese servidor de adware. Es decir, estaban programadas para detectar una SIM, pero además, estaban programadas para esperar un tiempo razonable antes de realizar la conexión. Este es el listado de dichas aplicaciones:
• RTO Vehicle Information
• EMI Calculator & Loan Planner
• File Manager – Documents
• Smart GPS Speedometer
• CrickOne – Live Cricket Scores
• Daily Fitness – Yoga Poses
• FM Radio PRO – Internet Radio
• My Train Info – IRCTC & PNR (not listed under developer profile)
• Around Me Place Finder
• Easy Contacts Backup Manager
• Ramadan Times 2019 Pro
• Restaurant Finder – Find Food
• BMI Calculator PRO – BMR Calc
• Dual Accounts Pro
• Video Editor – Mute Video
• Islamic World PRO – Qibla
• Smart Video Compressor
Si un dispositivo tiene una SIM quiere decir que pertenece a una persona real con un número de teléfono y una línea, y no a un ecosistema montado para detectarlo. Es decir, estaba perfectamente programado para calcular los tiempos de espera y detectar la tarjeta SIM. Cuando contactaron con la empresa AppAspect Technologies estos comentaron que no tenían ni idea de este comportamiento. Lo más inquietante de toda esta historia es que podemos creer perfectamente a la empresa AppAspect, ya que la mayoría de empresas compran e insertan código de terceros en sus programas, muchas veces, como podría ser este caso, sin analizarlos previamente.
Apple ha retirado las aplicaciones y lo mejor de esta historia es que a partir de ahora, no sólo se centraran en comportamientos asociados al malware y se ha abierto un nuevo enfoque poniendo en el punto de mira al adware. Todo lo que sea mejorar los sistemas de detección de malware es bienvenido en el ecosistema de Apple.