Masque Attack: Seu aplicativo do iPhone pode ser um aplicativo clonado escondendo malware

Table Of Contents

• Masque Attack: Seus aplicativos do iPhone podem ser malwares
• Como o Masque funciona?
• Todos os dispositivos Apple iOS afetados
• Precauções contra o ataque Masque

Masque Attack: Seus aplicativos do iPhone podem ser malwares

Pesquisadores da FireEye identificaram um novo ataque que pode ser usado por atacantes para substituir um aplicativo genuíno por outro carregado de malware. Os pesquisadores da FireEye nomearam esse novo ataque de ‘Masque Attack’.

Em julho, a equipe de segurança móvel da FireEye descobriu que um aplicativo iOS instalado usando provisionamento empresarial ou ad-hoc poderia substituir outro aplicativo genuíno instalado através da App Store se ambos os aplicativos usassem o mesmo identificador de pacote. A vulnerabilidade existe porque o iOS não impõe certificados correspondentes para aplicativos com o mesmo identificador de pacote, de acordo com a empresa.

Em um exemplo de como um ataque funcionaria, a FireEye enviou um link para um usuário de caso de teste convidando-o a baixar uma nova atualização do Flappy Bird. Quando a pessoa clicou no link, ela baixou inconscientemente uma atualização hackeada do aplicativo legítimo do Gmail.
O aplicativo hackeado do Gmail poderia parecer idêntico ao verdadeiro, mas pode enviar uma cópia do e-mail confidencial dos usuários para um terceiro sem o conhecimento dos usuários.

A FireEye afirma que a mesma técnica poderia ser usada para enganar as pessoas a fazer upload de versões maliciosas de aplicativos bancários, que encaminham detalhes financeiros, incluindo senhas, para o hacker.

Como o Masque funciona?

Uma vez que a vítima é atraída a instalar o aplicativo malicioso, os pesquisadores da FireEye explicaram, o aplicativo ilegítimo substituirá o genuíno. A FireEye afirma que os únicos aplicativos pré-instalados, como o Mobile Safari, não são afetados por esse problema. De acordo com a FireEye, o atacante pode explorar essa questão tanto sem fio quanto através de USB.

“Depois de investigar o WireLurker, descobrimos que ele começou a utilizar uma forma limitada de ataques Masque para atacar dispositivos iOS através de USB”, blogaram os pesquisadores da FireEye. “Os ataques Masque podem representar ameaças muito maiores do que o WireLurker. Os ataques Masque podem substituir aplicativos autênticos, como aplicativos bancários e de e-mail, usando malware do atacante pela Internet. Isso significa que o atacante pode roubar as credenciais bancárias do usuário substituindo um aplicativo bancário autêntico por um malware que possui uma interface idêntica. Surpreendentemente, o malware pode até acessar os dados locais do aplicativo original, que não foram removidos quando o aplicativo original foi substituído. Esses dados podem conter e-mails em cache ou até mesmo tokens de login que o malware pode usar para acessar diretamente a conta do usuário.”

Todos os dispositivos Apple iOS afetados

A vulnerabilidade foi verificada pela FireEye no iOS 7.1.1, 7.1.2, 8.0, 8.1 e 8.1.1 beta em dispositivos com e sem jailbreak. A FireEye disse que notificou a Apple em 26 de julho de 2014, mas a Apple não respondeu imediatamente. A FireEye afirmou que viu o Masque sendo explorado na natureza.

“Como todas as proteções ou interfaces padrão existentes da Apple não podem prevenir tal ataque, estamos pedindo à Apple que forneça interfaces mais poderosas para fornecedores de segurança profissionais para proteger os usuários empresariais contra esses e outros ataques avançados.”

Precauções contra o ataque Masque

Para evitar a ameaça, a FireEye afirma que existem três regras que todos os usuários de iPhone e iPad devem seguir:

2. Não instale aplicativos de fontes de terceiros além da App Store oficial da Apple ou da própria organização do usuário.

3. Não clique em “Instalar” em um pop-up de uma página da web de terceiros.

4. Ao abrir um aplicativo, se o iOS mostrar um alerta com “Desenvolvedor de Aplicativo Não Confiável”, clique em “Não Confiar” e desinstale o aplicativo imediatamente.

Enquanto toda a internet está em polvorosa com o ataque Masque, a Apple até agora não aceitou nem negou a vulnerabilidade.