La Apple Store, a pesar de ser bastante segura, cada cierto tiempo tenemos la noticia de la detección de nuevas aplicaciones maliciosas infiltradas en su catálogo. Y no es que Apple no ponga empeño en detectarlas, a veces son las sofisticadas técnicas de ocultación del malware dentro de una app aparentemente legal, las que hacen prácticamente imposible su detección. Algunas de estas apps maliciosas usan un interfaz de usuario «fake» para ocultar otra y así lograr sus fines.
Estas aplicaciones utilizan una interfaz aparentemente normal, pero una vez instaladas, es cuando se activa esta segunda capa de interfaz maliciosa. La interfaz oculta se activa después, por ejemplo, de alguna condición como por ejemplo un comando remoto enviado por el creador del malware, etc. Este tipo de aplicaciones se denominan «Camaleón» y se utilizan para todo tipo de fines, como recopilar información del usuario o enviar contenido no autorizado (publicidad, etc) al dispositivo.
El equipo de la Universidad de Hanyang ha creado una aplicación llamada «Chameleon-Hunter» capaz de analizar el código fuente de estas aplicaciones y en concreto su interfaz. Después de probarla contra 28.000 aplicaciones del App Store, finalmente lograron detectar 142 maliciosas que utilizaban esta técnica de ocultación del interfaz. Para lograr llevar a cabo esta detección, la aplicación de detección instala la misma aplicación en dos entornos diferentes, uno controlado que imita el teléfono real y otro entorno que simula un entorno de análisis de aplicaciones. ElevenPaths tiene también una solución profesional para detectar este tipo de amenazas llamada mASAPP, la cual puede descubrir de forma automática apps maliciosas en el mercado oficial de aplicaciones e incluso también en otros no oficiales.
Vídeo: ejemplo de una aplicación «camaleón»
La otra técnica de detección utilizada es más genérica, ya que analiza el texto que se encuentra embebido en la aplicación buscando palabras como «lotería», «dinero», etc. De las 142 aplicaciones detectadas, 58 enviaban publicidad sin autorización, 38 actuaban como plataformas de crowdsourcing, 14 para recolectar información sensible y 11 de ellas, ojo a este dato, se dedicaban a enviar noticias falsas. Es curioso este interés de los cibercriminales ya no solo por obtener información, si no por enviar información falsa a sus víctimas en forma de «fake news«.
Estamos seguros que está no será la última noticia sobre la detección de aplicaciones falsas (al más puro estilo de un «Caballo de Troya«) en el Apple Store. Si quieres más información técnica sobre este tipo de análisis, aquí tienes el paper desarrollado por los investigadores donde profundiza en el mismo.
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.