Nem lehet elégszer hangsúlyozni: csak tiszta forrásból! Mobil appot pedig különösen! Ez a figyelmeztetés azonban sokakról lepereg, és nem nézik meg, hogy honnan szereznek be programokat.

Pedig az Apple az elmúlt években rengeteg tett azért, hogy minél jobban kizárja a kétes forrásokat, például szigorított az alkalmazástelepítési eljárásokon. De van egy kiskapu, amit a csalók már nem először fordítanak a saját javukra – írja egy újabb incidens kapcsán a Biztonságportál.

Kínából terjed a veszély

A Trend Micro kutatói a kínai Haima nevű alkalmazásáruházban találtak érdekes szoftvereket, pontosabban olyan alkalmazásokat, melyekről kiderült, hogy azokat csalók "átcsomagolták". Ráadásul széles körben ismert alkalmazásokat manipuláltak. Többek között a Minecraft, az Instagram, a Facebook, a QQ chatprogram és a Pokémon GO is az újracsomagolt alkalmazások között volt.

A bűnözők azonban nem bízták a véletlenre, hogy majd valaki talán rátalál a Haima kínálatában a veszélyes programokra. A YouTube-on és több közösségi oldalon is reklámozták a kompromittált alkalmazások weboldalait.
 

És hogy mennyire volt hatásos a reklám, jól mutatják a letöltési statisztikák is (lásd a fenti grafikont). A négy legnépszerűbb fertőzött appot közel 120 millióan töltötték le.

A támadók trükkje

Mint azt fentebb említettük, bár az Apple sokat tesz a biztonságért, maradt azért kiskapu, amit a kiberbűnözők kihasználhatnak. Ez pedig nem más, mint az Apple Developer Enterprise Program, amely ráadásul nem először kap szerepet támadásokban. Az ezzel akpcsolatos problémára a Check Point már idén júniusban is felhívta a figyelmet.

Az Apple Developer Enterprise Program tagjai vállalati alkalmazásokat hozhatnak létre, és azokhoz olyan tanúsítványt kapnak, amelyek segítségével az iOS engedélyezi az adott alkalmazás telepítését akkor is, ha az nem az App Store-ból történik. A kiberbűnözőknek így csak a módszert kell megtalálniuk, hogy vissza tudjanak élni ezekkel a tanúsítványokkal.

Ha egy tanúsítványról kiderül, hogy kompromittálódott, azt az Apple azonnal visszavonja. Áma kiberbűnözők egy újabb regisztráció után új tanúsítványt kapnak, és újrakezdődik a macska-egér harc. A Haima store-ban talált fertőzött alkalmazásoknál is ezt történt: a Trend Micro 15 nap alatt 5 tanúsítványváltást talált ezeknél. Pedig a tanúsítványért fizetni is kell darabjáért 299 dollárt. Azaz vastagon kereshettek ezen a bűnözők, ha egy-egy programnál ötször is váltottak tanúsítványt.

Reklámokat tol és kémkedik is

A fertőzött alkalmazások kétféle kockázatot is jelentenek. Az a kisebbik probléma, hogy van bennük olyan összetevő, amely folyamatosan tolja a reklámokat a felhasználó készülékére. Ez amellett, hogy kellemetlen, persze komoly adatforgalmat is generálhat.

A másik veszély azonban már sokkal komolyabb. Az átcsomagolt appok ugyanis alkalmasak arra, hogy a készülékről kényes adatokat szivárogtassanak. Lekérdezik például a készülék IMSI és IMEI azonosítóját, megszerzik a hálózati paramétereket, az eszköz nevét és IP-címét. Azt is ki tudják deríteni a fertőzött készülékről, hogy azt jailbreakelte-e a használója. A begyűjtött információkat a program rejtett komponensei egy távoli vezérlőszerverre küldik el.

Tehát akkor ismét az elejére: appot csak tiszta forrásból! Persze ez sem garancia a teljes biztonságra, de legalább egy veszélyforrással kevesebb.