Milliónyi iPhone fertőződött meg

Több millió iOS alapú mobil készülék fertőződött meg azért, mert a tulajdonosaik nem a hivatalos alkalmazásáruházat használták.
 

Mind az Android, mind az iOS operációs rendszerek esetében gyakran hangoztatott tanács, hogy csak a hivatalos alkalmazásboltokból célszerű szoftvereket letölteni, telepíteni. Ennek ellenére sokan vannak, akik nem fogadják meg e jó tanácsokat, és egyéb helyekről is szereznek be programokat. 

Az Apple az elmúlt években viszonylag sokat szigorított az alkalmazástelepítési eljárásokon annak érdekében, hogy minél kisebb valószínűséggel kerülhessenek fel a készülékekre kétes helyekről vagy nem megfelelően ellenőrzött forrásokból származó programok. Ugyanakkor megmaradt egy kiskapu, amit a csalók már nem először fordítanak a saját javukra.

A Trend Micro kutatói a Haima nevű, kínai alkalmazásáruház tanulmányozásakor érdekes szoftverekre lettek figyelmesek. Hamar kiderült, hogy a weboldalon számos olyan program érhető el, amelyeket a csalók "újracsomagoltak". Olyan jól ismert alkalmazásokat manipuláltak, mint amilyen a Minecraft, az Instagram, a Facebook, a QQ és a Pokémon GO. Ezt követően pedig intenzív marketing tevékenységbe kezdtek, hogy minél több felhasználót sikerüljön rávenni arra, hogy ne az Apple App Store-ból telepítsék a programokat. Egyebek mellett a YouTube-on és különféle közösségi oldalokon is megjelentek olyan reklámok, tartalmak, amik a kompromittált alkalmazások weboldalaira mutattak.

Reklámokkal megspékelt kémkedés

A biztonsági kutatók szerint a fertőzött iOS alkalmazások kétféle módon jelentenek kockázatot. Egyrészt egy olyan összetevő található bennük, amely reklámokat jelenít meg, és meglehetősen nagy adatforgalmat generálhat. A másik veszély, hogy a problémás app-ok adatszivárogtatásra is alkalmasak. Egyebek mellett lekérdezik az IMSI és az IMEI azonosítókat, a hálózati paramétereket, az eszköz nevét és IP címét, valamint azt, hogy a készülék jailbreakelt-e. Az összegyűjtött információkat pedig feltöltik egy távoli vezérlőszerverre.

A Trend Micro által beszerzett statisztikai adatok azt mutatják, hogy ismét nagyon sokan estek a csalók csapdájába. A fertőzött alkalmazások letöltések száma szerinti toplistája a következőképpen fest:
1. Minecraft PE (68 millió letöltés)
2. QQ (45 millió letöltés)
3. Terraria (6 millió letöltés)
4. Pokémon GO (1 millió letöltés). 

A támadók trükkje

Az előbbiekben említett, kiberbűnözők által kihasznált kiskapu nem más, mint maga az Apple Developer Enterprise Program. Ennek tagjai vállalati alkalmazásokat hozhatnak létre, és olyan tanúsítványt is kapnak, amelynek segítségével az iOS alapú készülékek engedélyezik az alkalmazások telepítését. Ezekkel a tanúsítványokkal élnek vissza a csalók. Természetesen az Apple próbál harcolni ez ellen, és mihelyt bebizonyosodik egy tanúsítványról, hogy illegális célokat szolgál, rögtön visszavonja azt. Csakhogy ekkor a vírusterjesztők újból regisztrálnak, új tanúsítványt kapnak, és minden kezdődik elölről. A Trend Micro 15 nap alatt 5 tanúsítványváltást számolt össze az említett alkalmazások esetében.

"Mindez nem fáj a csalóknak, hiszen a Haima esetében alkalmazott üzleti modell és az adware komponensek terjesztése által bőven keletkezik annyi bevételük, hogy a 299 dolláros tanúsítványt (Developer Enterprise Program tagsági díjat) ki tudják fizetni"

- nyilatkozták a Trend Micro kutatói.

A hasonló károkozások ellen a legjobb védekezésnek az számít, ha kizárólag az Apple App Store-ból szerezzük be a szoftvereket. Természetesen ekkor is célszerű résen lenni, de a kockázatok azért jóval kisebbek.