Apple App Store jednak nieszczelny? Cyberprzestępcy ominęli protokoły bezpieczeństwa
Eksperci z firmy Sophos namierzyli pierwsze złośliwe oprogramowanie, które przeszło przez restrykcyjne sito protokołów bezpieczeństwa stosowanych przez Apple. Cyberprzestępcom udało się umieścić złośliwe oprogramowanie w App Store. W jaki sposób?
W rzeczy samej cyberprzestępcy nie złamali protokołów zabezpieczeń stosowanych przez Apple, zastosowali metodę oszustwa zwaną CryptoRom. To technika, która w znacznym stopniu polega na socjotechnice i manipulacji samymi użytkownikami urządzeń Apple, a nie na jakimś wyrafinowanym ataku prowadzonym przeciwko stosowanym przez Apple algorytmom. Jednak w tym przypadku udało się przestępcom ominąć jeden, bardzo ważny i trudny dla nich etap: nakłonienia ofiary do instalacji aplikacji z zewnętrznego źródła. Wystarczyła instalacja aplikacji, która przeszła sito weryfikacyjne w App Store.
Problem jednak polega na tym, że skuteczna ochrona przed atakiem CryptoRom wymaga nie tylko kontroli ruchu pomiędzy aplikacją a serwerami Apple, ale również pomiędzy aplikacją a… tak naprawdę całym internetem. Wiecie, co by się stało, jakby Apple zaczęło monitorować ruch zewnętrzny dowolnej aplikacji? Niezależnie od motywów podniósł by się globalny alarm obrońców prywatności. Apple jest na tym punkcie bardzo czułe, co widać choćby po sposobie w jaki Apple realizuje własną usługę płatności Apple Pay (zajrzyjcie do materiału Darka porównującego Apple Pay i Google Pay). Technikę opisywanego ataku wyjaśnia poniższa infografika:
Eksperci z firmy Sophos wyjaśniają, że cyberprzestępcy próbowali za pomocą umieszczonego w App Store oprogramowania namawiać użytkowników aplikacji randkowych do dokonania inwestycji w kryptowaluty w fałszywej aplikacji. Eksperci Sophos natychmiast powiadomili o tym firmy Apple i Google, które już usunęły aplikacje Ace Pro i MBM_BitScan ze swoich sklepów.
Oszustwa typu CryptoRom należą do jednych z najbardziej czasochłonnych i skomplikowanych działań podejmowanych przez cyberprzestępców. Działają oni według podobnego schematu: tworzą i prowadzą na Facebooku fałszywy profil bogatej osoby mieszkającej w jakimś popularnym i znanym na całym świecie miejscu, po czym szukają potencjalnych ofiar w serwisach i aplikacjach randkowych. W trakcie rozmowy proponują im inwestycje w kryptowaluty, sugerując pobranie specjalnej aplikacji jak Ace Pro lub MBM_BitScan. Pokrzywdzeni nie zdają sobie sprawy, że instalują na swoich smartfonach fałszywe oprogramowanie.
Generalnie bardzo trudno jest ominąć weryfikację bezpieczeństwa w App Store. Wcześniej cyberprzestępcy musieli przekonywać osoby korzystające z urządzeń Apple do instalowania specjalnego profilu konfiguracyjnego, który umożliwiał pobieranie aplikacji z niesprawdzonych źródeł. Nie trzeba być geniuszem, że osoba, która da się namówić na instalację specjalnego profilu konfiguracyjnego we własnym urządzeniu, niejako otwierała cyberprzestępcom drzwi do dalszego działania.
Nowy atak jest jednak o tyle groźniejszy, że przestępcom udało się wprowadzić złośliwe oprogramowanie do App Store i tym samym wyeliminować skomplikowany wymóg instalacji specjalnego profilu konfiguracyjnego na urządzeniu ofiary, który zresztą dziś i tak już jest zablokowany przez Apple dzięki funkcji Lockdown. Lockdown to opracowana przez Apple nowa technika ochrony systemu iOS, która całkowicie blokuje na urządzeniu próby instalowania profili konfiguracyjnych. To było impulsem dla cyberprzestępców, by opracować nową metodę ominięcia ograniczeń.
Jak fałszywe aplikacje przeszły proces weryfikacji w App Store i Google Play?
Aplikacja Ace Pro w sklepie App Store figurowała jako skaner kodów QR. Po jej zainstalowaniu użytkownicy widzieli jednak interfejs umożliwiający zakup, wpłatę i wypłatę kryptowalut. Pieniądze ze wszystkich transakcji trafiały prosto w ręce cyberprzestępców. Na podobnej zasadzie w sklepie Google Play na platformie Android funkcjonowała aplikacja MBM_BitScan, znana też pod nazwą BitScan, która przypominała legalny japoński program do handlu cyfrowymi walutami.
Eksperci Sophos wskazują, że podczas procesu weryfikacji w sklepach należących do Apple i Google aplikacje te łączyły się legalnymi stronami internetowymi. Do przekierowania ruchu na fałszywe serwisy dochodziło dopiero po tym jak programy zostały udostępnione w sklepie wszystkim użytkownikom. Ponieważ ofiary dokonywały operacji finansowych wyłącznie w witrynach, do których odsyłała ich pobrana aplikacja, weryfikatorom Google trudno było wykryć oszustwo.
Przestępcy, którzy na cel wzięli użytkowników aplikacji randkowych, początkowo działali wyłącznie na terenie Azji. Obecnie ich ofiarami padają jednak także mieszkańcy Stanów Zjednoczonych i Europy. Według wyliczeń firmy Sophos, która śledzi i zgłasza oszustwa tego typu od dwóch lat, zyski cyberprzestępców stosujących przekręt na inwestycje w cyfrowe waluty można już liczyć w milionach dolarów.
Początkowo ofiary są mamione opłacalnością inwestycji. Jednak gdy chcą wypłacić środki, okazuje się, że nie ma ani wpłaconych pieniędzy, ani wypracowanych zysków. Jak zwykle sprawdza się zasada ograniczonego zaufania. Jeśli oferta wydaje się podejrzana lub zbyt atrakcyjna, aby była prawdziwa, to najprawdopodobniej tak właśnie jest.
