Imagen estilizada de un hombre mirando una tableta.

Los estafadores que distribuyen malware para iOS mejoran su juego abusando de dos funciones legítimas de Apple para eludir los requisitos de verificación de la App Store y engañar a las personas para que instalen aplicaciones maliciosas.

Apple ha requerido durante mucho tiempo que las aplicaciones pasen la autorización de seguridad y sean aceptadas en la App Store antes de que puedan instalarse en iPhones y iPads. La verificación evita que las aplicaciones maliciosas ingresen a los dispositivos, donde luego pueden robar criptomonedas, contraseñas o realizar otras actividades nefastas.

Una publicación publicada el miércoles por la empresa de seguridad Sophos arroja luz sobre dos métodos más nuevos utilizados en una campaña del crimen organizado llamada CryptoRom, que está impulsando aplicaciones de criptomonedas falsas para usuarios desprevenidos de iOS y Android. Si bien Android permite la «carga lateral» de aplicaciones de terceros mercados, Apple requiere que las aplicaciones de iOS provengan de la App Store después de someterse a un exhaustivo control de seguridad.

Más barato y más fácil

Ingrese a TestFlight, una plataforma que Apple proporciona para la prueba beta de nuevas aplicaciones. Al instalar la aplicación TestFlight de Apple desde App Store, cualquier usuario de iOS puede descargar e instalar aplicaciones que aún no hayan pasado el proceso de verificación. Una vez que se instala TestFlight, el usuario puede descargar las aplicaciones no verificadas a través de enlaces que los atacantes publican en sitios fraudulentos o en correos electrónicos. Los usuarios pueden usar TestFlight para invitar hasta 10,000 evaluadores usando su dirección de correo electrónico o compartiendo un enlace público.

«Algunas de las víctimas que nos contactaron informaron que se les indicó que instalaran lo que parecía ser BTCBOX, una aplicación para un intercambio de criptomonedas japonés», escribió Jagadeesh Chandraiah, analista de malware de la firma de seguridad Sophos. “También encontramos sitios web falsos que se hacen pasar por la empresa minera de criptomonedas BitFury que vende aplicaciones falsas a través de TestFlight. Seguimos buscando otras aplicaciones de CryptoRom con el mismo enfoque».

La publicación del miércoles presentó varias de las imágenes utilizadas en la campaña CryptoRom. Los usuarios de iOS que mordieron el anzuelo recibieron un enlace que, al hacer clic, hizo que la aplicación TestFlight descargara e instalara la aplicación de criptomoneda falsa.

testflight web scam

Sophos

Chandraiah dijo que el vector TestFlight ofrece a los atacantes ventajas que no están disponibles con las técnicas de omisión de App Store más conocidas que también abusan de la funcionalidad legítima de Apple. Una de esas características es la plataforma Super Signature de Apple, que permite a los usuarios usar su cuenta de desarrollador de Apple para implementar aplicaciones de forma limitada y ad hoc. La otra función es el programa Developer Enterprise de la empresa. Esto permite que las grandes organizaciones proporcionen aplicaciones propietarias para uso interno sin requerir que los empleados utilicen la App Store. Ambos métodos requieren que los estafadores paguen dinero y pasen por otros obstáculos.

En contraste, Chandraiah le dijo a TestFlight:

es más barato de usar que otros esquemas porque todo lo que necesita es un archivo IPA con una aplicación compilada. La distribución está a cargo de otra persona, y si (o si) el malware se detecta y marca, el autor del malware simplemente puede ir al servicio más cercano y comenzar de nuevo. [TestFlight] en algunos casos, los desarrolladores de aplicaciones maliciosos lo prefieren a Super Signature o Enterprise Signature porque es un poco más barato y parece más legítimo cuando se distribuye con la aplicación Apple Test Flight. También se cree que el proceso de verificación es menos riguroso que la verificación de la App Store.

Eso no es todo

La publicación indica que los estafadores de CryptoRom también están utilizando una segunda función de Apple llamada WebClips para ofuscar sus actividades. Conocida como WebClips, esta función agrega un enlace de página web directamente a la pantalla de inicio de un iPhone en forma de un ícono que puede confundirse con una aplicación benigna. Los WebClips aparecen después de que un usuario guarda un enlace web.

El investigador de Sophos dijo que CryptoRom podría usar WebClips para agregar influencia a las URL maliciosas que proliferan en aplicaciones falsas. Aquí hay un ícono para una aplicación llamada RobinHand que está diseñada para imitar la aplicación comercial legítima de Robinhood.

robinhand

Sophos

Los estafadores de CryptoRom dependen en gran medida de la ingeniería social. Usan una variedad de trucos para establecer una relación con los objetivos, aunque nunca se encuentran cara a cara. Las redes sociales, los sitios de citas y las aplicaciones de citas se encuentran entre esos trucos. En otros casos, los estafadores inician relaciones a través de «mensajes de WhatsApp aparentemente aleatorios que ofrecen consejos de inversión y comercio a los destinatarios».

Es probable que los usuarios de Internet inteligentes descubran el abuso de TestFlight y WebClips, pero las personas menos experimentadas pueden ser engañadas. Los usuarios de iOS deben tener cuidado con los sitios web, correos electrónicos o mensajes que les indiquen que descarguen aplicaciones de cualquier fuente que no sea la App Store oficial. Un representante de Apple dijo que esta página de soporte muestra cómo evitar y denunciar el fraude. Apple tiene guías adicionales aquí y aquí.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí