Así fue cómo 18 aplicaciones de malware se colaron en el Apple Store

El ecosistema de aplicaciones del iPhone es uno de los más seguros que pueden adquirirse hoy día, gracias al gran control que ejerce Apple sobre su App Store. Aún así, es posible que algunas aplicaciones lleguen a superar los severos controles de seguridad. Recientemente, unas 18 aplicaciones consiguieron diseñar técnicas de evasión para esquivar todos esos procesos de defensa. Vamos a ver cómo lo consiguieron.

Una serie de aplicaciones, las cuales iban desde una calculadora hasta incluso uno sobre cómo realizar ejercicios de yoga, aparentemente inocuas, realizaban una serie de tareas en background un tanto oscuras. Por ejemplo, creaban anuncios invisibles los cuales generaban clicks falsos en un sitio web para aumentar sus ingresos por publicidad. Este tipo de malware se llama adware y realmente el único impacto sobre el usuario sería una disminución de la duración de la batería y posiblemente mayor consumo de datos. No existe un daño directo a la confidencialidad ni a la integridad del dispositivo, están enfocadas únicamente a sacar un beneficio económico indirecto por publicidad.

Figura 1. Iconos de las aplicaciones afectadas por el adware. Fuente.

Pero lo importante no es realmente lo que hacían, sino cómo consiguieron llegar al App Store. La empresa de seguridad Wandera detectó una actividad inusual en una aplicación aparentemente normal, como es un simple velocímetro. Pero de repente, la aplicación conectó con un servidor de «Command and Control«, que también ejercía la tarea de emisor de la publicidad que antes hemos mencionado. Consiguieron identificar al desarrollador de la aplicación llamado AppAspect Technologies (India) y además vieron que tenían otras aplicaciones (17 más). Así que las instalaron y comenzaron también a monitorizarlas.

Lo curioso es que en principio, no detectaron nada extraño. De hecho durante varios días ejecutaron las aplicaciones en varios dispositivos y no vieron ninguna comunicación extraña con ningún servidor. Y aquí viene lo mejor. Las pruebas se realizaron utilizando WiFi y durante ese periodo no se activó ninguna acción maliciosa. En cambio, cuando los desarrolladores añadieron una tarjeta SIM, y después de un tiempo, comenzaron a ver actividad enviada a ese servidor de adware. Es decir, estaban programadas para detectar una SIM, pero además, estaban programadas para esperar un tiempo razonable antes de realizar la conexión. Este es el listado de dichas aplicaciones:

• RTO Vehicle Information
• EMI Calculator & Loan Planner
• File Manager – Documents
• Smart GPS Speedometer
• CrickOne – Live Cricket Scores
• Daily Fitness – Yoga Poses
• FM Radio PRO – Internet Radio
• My Train Info – IRCTC & PNR​ (not listed under developer profile)
• Around Me Place Finder
• Easy Contacts Backup Manager
• Ramadan Times 2019 Pro
• Restaurant Finder – Find Food
• BMI Calculator PRO – BMR Calc
• Dual Accounts Pro
• Video Editor – Mute Video
• Islamic World PRO – Qibla
• Smart Video Compressor

Si un dispositivo tiene una SIM quiere decir que pertenece a una persona real con un número de teléfono y una línea, y no a un ecosistema montado para detectarlo. Es decir, estaba perfectamente programado para calcular los tiempos de espera y detectar la tarjeta SIM. Cuando contactaron con la empresa AppAspect Technologies estos comentaron que no tenían ni idea de este comportamiento. Lo más inquietante de toda esta historia es que podemos creer perfectamente a la empresa AppAspect, ya que la mayoría de empresas compran e insertan código de terceros en sus programas, muchas veces, como podría ser este caso, sin analizarlos previamente.

Apple ha retirado las aplicaciones y lo mejor de esta historia es que a partir de ahora, no sólo se centraran en comportamientos asociados al malware y se ha abierto un nuevo enfoque poniendo en el punto de mira al adware. Todo lo que sea mejorar los sistemas de detección de malware es bienvenido en el ecosistema de Apple.