Волна вредоносных приложений накрыла пользователей iPhone

Пользователям Apple iPhone нужно срочно проверить свои устройства, на наличие вредоносных приложений из списка, раскрытых в новом отчете. Раскрытие таких опасностей в Google Play Store стало темой этого года. Некоторые приложения пронизанные рекламным ПО, мошенничеством с подпиской, были разоблачены и удалены. Теперь компания Apple находится в эпицентре событий. Новый отчет исследовательской группы Wandera обнародовал 17 приложений от одного разработчика, которые загружают модуль вредоносного кликера на устройство iOS. Это стало шоком для пользователей Apple, которые считают, что загрузка из App Store абсолютно безопасна.

Вирусная программа концентрируется на мошенничестве с рекламой, но также шифрует и отправляет данные с зараженного устройства на внешний сервер управления и контроля, повышая уровень риска. Группа Wandera объявила, что еще более тревожной характеристикой трояна, которая не включена в описание, является использование хитрых приемов, позволяющих избежать обнаружения. Вредоносная программа срабатывает только при активной SIM-карте и остается работать в течение нескольких дней. Многие уже знакомы с этим на Android, как вирус прячется от исследований безопасности. К сожалению, многие пользователи Apple не ожидали такого развития событий в закрытом мире iOS.

Вице-президент Wandera Майкл Ковингтон, делится мнением перед выпуском отчета: “Мы были поражены этому. За последние несколько месяцев нами было замечено несколько проблем, которые появились в Apple App Store, и это показалось элементом сети”. По его мнению, Apple слишком медлит в решении по удалению приложений. “У них нет глубокого опыта в изучении угроз, но чтобы найти вредоносный сетевой трафик, пользователи должны проверить свои приложения и удостовериться в том, как они работают”, — объясняет он.

На данный момент, приложения все еще доступны для установки в разных странах. Как и в случае с Google Android, тот факт, что эти 17 приложений вышли из блокировки Apple, означает, что их будет скорее всего гораздо больше. “Этот список, только начало того, что находится в магазине приложений”, — говорит Ковингтон.

Группа Wandera засекла вредоносные приложения, когда платформа мониторинга обнаружила сетевой трафик отправленный на внешний C&C-сервер. “Это заставило нас работать в обратном направлении. Мы нашли одно из этих приложений, и с его помощью отследили разработчика, а затем обнаружили следы, которые привели к другим приложениям”, — говорит Ковингтон.

Каждое из приложений содержит “вредоносный” троянский модуль кликера. “Вредоносный”, он потому что модуль может делать больше, чем просто генерировать мошенническую рекламу. Ковингтон объясняет: “Это может с легкостью украсть информацию и сделать это незаметно. Каждый раз, когда я вижу приложение, открывающее вкладки в интернет браузере, сразу становится понятно, что это больше, чем просто нежелательная реклама. Значит в приложении имеются вредоносные функции”.

“Все приложения будут выполнять фоновые задачи, связанные с мошенничеством и рекламой. Такие, как постоянное открытие веб-страниц или переход по ссылкам без какого-либо действия пользователя. Модуль генерировал доход для операторов, на основе платы за клик, увеличивая посещаемость сайта”, — поясняется в отчете. Скрытое поведение, о котором не говорится в отчете, указывает на уровень опасности, помимо простого мошенничества с рекламой. Разработка вредоносных программ помогающая уклониться от исследовательской лаборатории безопасности — это считается новым уровнем вирусной программы.

Майкл Ковингтон также хочет, чтобы пользователи знали, что внешнее соединение означает высокий риск компрометации данных. Вредоносная программа отправляет информацию об устройстве и местоположении, а также некоторые пользовательские данные. Эти приложения не являются играми. Одно управляло контактами, другое предоставляло информацию о путешествиях, следующее имело доступ к акселерометру и местоположению. Даже без специальных разрешений для камеры или микрофона, приложения могут использовать контакты и данные о местоположении, что нарушает конфиденциальность.

Тот факт, что существует внешняя связь, создает еще более коварные угрозы. “Определенная информация об устройстве и пользователе, используется для определения того, какую рекламу показывать. Но мы видели, как C&C-серверы поставляют другие типы команд. Например для изменения конфигурации или запуска фишинговых атак, для предоставления легитимных страниц входа в систему и для кражи учетных данных. Или для доставки вредоносных программ для массовых приложений. Как только вы выйдите в сеть, после этого могут произойти ужасные вещи”, — говорит Ковингтон.

Во время активности вредоносного ПО, командой Wandera было замечено снижение производительности, быстрый расход разряда батареи, интенсивное использование полосы пропускания — одно объявление запускает видеоролик, который длится более пяти минут, другое содержат большие изображения. Тот же сервер C&C был раскрыт при помощи Dr. Web, в рамках кампании по борьбе с вредоносным ПО для Android. Компания Dr. Web сообщила, что сервер может подбирать рекламу, загружать сайты, изменять конфигурацию устройств, обманным путем подписывать пользователей на премиум-контент.

Группа исследователей Wandera проверила приложения для Android, и ни одно из них не содержало модуль “кликера”. Хотя ранее они были выявлены в Play Store, после чего модуль был удален, а приложения исчезли. Возможно ли, что скандал с магазином Play Store спугнул разработчиков вредоносных ПО? Вероятно, что они переключили свое внимание на iOS, где люди не ожидают такого поворота событий. Ковингтон подтверждает, что это может быть правдой.

Wandera ведет переговоры с компанией Apple, рассказывая полученную информацию. Но в то же время приложения остаются доступными для установки, в разных странах мира. Хорошая новость заключается в том, что удаление приложений, по-видимому, решает проблему полностью.

Появляются сомнения о целостности платформы, в комплексе с другими проблемами безопасности Apple за последние месяцы. Пуленепробиваемая репутация, которую компания Apple построила за эти годы, была сбита за короткое время. И проблема сейчас в том, что каждый исследовательский центр по кибербезопасности будет обращать свое внимание на App Store, чтобы найти другие приложения, которые несут опасность.

Вот список зараженных приложений:

  1. RTO Vehicle Information
  2. EMI Calculator & Loan Planner
  3. File Manager — Documents
  4. Smart GPS Speedometer
  5. CrickOne — Live Cricket Scores
  6. Daily Fitness — Yoga Poses
  7. FM Radio PRO — Internet Radio
  8. My Train Info — IRCTC & PNR​ (not listed under developer profile)
  9. Around Me Place Finder
  10. Easy Contacts Backup Manager
  11. Ramadan Times 2019 Pro
  12. Restaurant Finder — Find Food
  13. BMI Calculator PRO — BMR Calc
  14. Dual Accounts Pro
  15. Video Editor — Mute Video
  16. Islamic World PRO — Qibla
  17. Smart Video Compressor