Alerta: Falha no iOS permite trocar apps oficiais por malware…

Pedro Pinto

9 anos ago

…e posterior envio de dados pessoais para os atacantes

Nos últimos tempos o iOS tem sido alvo de várias tentativas de ataques que chegam através de malware. Ainda no rescaldo do malware WireLurker e de acordo com a empresa de segurança FireEye, há agora uma nova ameaça capaz de substituir as aplicações instaladas num equipamento com iOS por versões alteradas, com malware, que podem enviar informações pessoais dos utilizadores para os atacantes.

As informações são da empresa de segurança FireEye que afirma existir uma nova ameaça para os utilizadores do iOS. Baptizado com o nome de Masque, este ataque tem a capacidade de substituir no nosso equipamento com iOS as aplicações originais (ex. aplicações do banco, e-mail, etc) por aplicações infectadas capazes de criar backdoors no nosso dispositivo e posteriormente enviar informações pessoais. De referir que as aplicações com malware têm a capacidade de aceder aos dados da aplicação original.

Masque Attacks can pose much bigger threats than WireLurker. Masque Attacks can replace authentic apps,such as banking and email apps, using attacker’s malware through the Internet. That means the attacker can steal user’s banking credentials by replacing an authentic banking app with an malware that has identical UI. Surprisingly, the malware can even access the original app’s local data, which wasn’t removed when the original app was replaced. These data may contain cached emails, or even login-tokens which the malware can use to log into the user’s account directly

Exemplo

A Figura (a) mostra o cliente do Gmail com 22 mensagens por ler e na figura (b) acedemos a esses e-mais
Carregando num e-mail que traz um link suspeito, o utilizador é levado a instalar o “novo Flappy Bird” como mostra a figura (c)
Repare que a app que é actualizada é a do Gmail (figura (d))
Figura (e) mostra que a app original foi trocada pela nova app com malware
Como podemos ver pela Figura (f) o UI do gmail é igual ao original só que a esta nova aplicação cria um backdoor no sistema e envia informações para o atacante (uma vez que a informação da app oficial continua no sistema)

Depois de instalada a aplicação maliciosa, a informação pessoal do utilizador, neste caso do seu e-mail, é enviada para um servidor remoto.

Veja o “Masque Attack”em acção

A FireEye conseguiu reproduzir o ataque no iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta. A empresa informa ainda que notificou a Apple sobre a vulnerabilidade a 26 de Julho mas até ao momento ainda não há qualquer correcção. No entanto a FireEye alerta os utilizadores do iOS para não instalarem aplicações fora da app Store e para não clicarem em links, que chegam via SMS.

via FireEye