Masque Attack: Tu aplicación de iPhone puede ser en realidad una aplicación clonada que oculta malware

Table Of Contents

• Masque Attack: Tus aplicaciones de iPhone pueden ser en realidad malwares
• ¿Cómo funciona Masque?
• Todos los dispositivos Apple iOS afectados
• Precauciones contra el ataque Masque

Masque Attack: Tus aplicaciones de iPhone pueden ser en realidad malwares

Investigadores de FireEye identificaron un nuevo ataque que puede ser utilizado por atacantes para reemplazar una aplicación genuina con otra cargada de malware. Los investigadores de FireEye han denominado a este nuevo ataque como ‘Masque Attack’.

En julio, el equipo de seguridad móvil de FireEye descubrió que una aplicación de iOS instalada utilizando aprovisionamiento empresarial o ad-hoc podría reemplazar otra aplicación genuina instalada a través de la App Store si ambas aplicaciones usaban el mismo identificador de paquete. La vulnerabilidad existe porque iOS no aplica certificados coincidentes para aplicaciones con el mismo identificador de paquete, según la firma.

En un ejemplo de cómo funcionaría un ataque, FireEye envió un enlace a un usuario de caso de prueba invitándolo a descargar una nueva actualización de Flappy Bird. Cuando la persona hizo clic en el enlace, sin saberlo, descargó una actualización hackeada de la aplicación legítima de Gmail.
La aplicación hackeada de Gmail podría parecer idéntica a la real, pero puede enviar una copia del correo electrónico confidencial del usuario a un tercero sin el conocimiento del usuario.

FireEye dice que la misma técnica podría ser utilizada para engañar a las personas para que suban versiones maliciosas de aplicaciones bancarias, que reenvían detalles financieros, incluidos contraseñas, al hacker.

¿Cómo funciona Masque?

Una vez que la víctima es inducida a instalar la aplicación maliciosa, explicaron los investigadores de FireEye, la aplicación ilegítima reemplazará a la genuina. FireEye dice que las únicas aplicaciones preinstaladas como Mobile Safari no se ven afectadas por este problema. Según FireEye, el atacante puede aprovechar este problema tanto de forma inalámbrica como a través de USB.

“Después de investigar WireLurker, encontramos que comenzó a utilizar una forma limitada de ataques Masque para atacar dispositivos iOS a través de USB”, publicaron los investigadores de FireEye en su blog. “Los ataques Masque pueden representar amenazas mucho mayores que WireLurker. Los ataques Masque pueden reemplazar aplicaciones auténticas, como aplicaciones bancarias y de correo electrónico, utilizando el malware del atacante a través de Internet. Eso significa que el atacante puede robar las credenciales bancarias del usuario al reemplazar una aplicación bancaria auténtica con un malware que tiene una interfaz idéntica. Sorprendentemente, el malware puede incluso acceder a los datos locales de la aplicación original, que no fueron eliminados cuando la aplicación original fue reemplazada. Estos datos pueden contener correos electrónicos en caché, o incluso tokens de inicio de sesión que el malware puede usar para iniciar sesión directamente en la cuenta del usuario.”

Todos los dispositivos Apple iOS afectados

La vulnerabilidad ha sido verificada por FireEye en iOS 7.1.1, 7.1.2, 8.0, 8.1 y 8.1.1 beta en dispositivos con jailbreak y sin jailbreak. FireEye dijo que notificó a Apple el 26 de julio de 2014, pero Apple no respondió de inmediato. FireEye dijo que había visto el Masque siendo explotado en la naturaleza.

“Debido a que todas las protecciones o interfaces estándar existentes de Apple no pueden prevenir tal ataque, estamos pidiendo a Apple que proporcione interfaces más poderosas a los proveedores de seguridad profesional para proteger a los usuarios empresariales de estos y otros ataques avanzados.”

Precauciones contra el ataque Masque

Para evitar la amenaza, FireEye dice que hay tres reglas que todos los usuarios de iPhone y iPad deben seguir:

2. No instales aplicaciones de fuentes de terceros que no sean la App Store oficial de Apple o la propia organización del usuario.

3. No hagas clic en “Instalar” en un pop-up de una página web de terceros.

4. Al abrir una aplicación, si iOS muestra una alerta con “Desarrollador de Aplicaciones No Confiable”, haz clic en “No Confiar” y desinstala la aplicación de inmediato.

Mientras toda la internet está entusiasmada con el ataque Masque, Apple hasta ahora no ha aceptado ni negado la vulnerabilidad.