/

Maças ruins? O malware morde o Mac e o iOS

Os dispositivos Apple são imunes a malware. Essa é a sabedoria predominante, e muitas vezes repetida por quem possui iPhones, iPads ou laptops Mac, como uma maneira de compensar políticas restritivas de aplicativos aplicadas pela gigante da tecnologia. Esses amantes da Apple têm razão, no entanto, uma vez que as permissões do Gatekeeper para Mac da empresa e de “Confiança” para iOS permitem que os dispositivos identifiquem aplicativos desenvolvidos sem um ID de desenvolvedor Apple válido, e a grande maioria (98%) dos malwares móveis tem como alvo Android- dispositivos baseados.

Mas isso não significa que iPhones e Macbooks sejam totalmente seguros. De fato, uma nova família de malware agora está direcionada especificamente aos produtos da Apple e pode causar danos sérios. Aqui está a linha de fundo.

Cuidado com os espreitadores

Conforme observado em uma recente atualização de segurança da Kaspersky, o malware WireLurker recém-descoberto é capaz de infectar dispositivos iOS e Mac OS. O malware foi observado pela primeira vez em uma loja de aplicativos de terceiros chinesa chamada Maiyadi, diz a empresa de segurança Palo Alto Networks, e infectou 467 aplicativos OS X. De acordo com Claud Xiao, de Palo Alto, “nos últimos seis meses, esses 467 aplicativos infectados foram baixados mais de 356.104 vezes e podem ter impactado centenas de milhares de usuários”.

Então, como isso funciona? O WireLurker começa criando aplicativos trojanizados para venda em lojas de aplicativos de terceiros. Quando baixado por iPhones ou Macs com jailbreak, com o Gatekeeper desativado, o WireLurker procura aplicativos específicos, cria cópias, aplica patches em códigos maliciosos e depois copia o aplicativo infectado de volta para o dispositivo. Se você estiver usando um telefone sem jailbreak, o melhor que o WireLurker pode fazer é usar um Enterprise Developer ID legítimo para instalar aplicativos não maliciosos, o que Palo Alto diz ser um “caso de teste”. Parece assustador? Deve, mas se você não estiver executando um telefone desbloqueado ou baixando aplicativos de lojas de terceiros e substituindo as permissões de Confiança da Apple, provavelmente estará seguro.

Provavelmente.

Jekyll and Hide

É claro, vale ressaltar que, em 2013, pesquisadores da Georgia Tech encontraram uma maneira de carregar cargas maliciosas em dispositivos Apple usando uma sequência de códigos aparentemente benignos. De acordo com a eWeek, esses “aplicativos Jekyll” poderiam facilmente passar pelo processo de verificação da Apple, mas depois se tornarem “maus” e se comportarem como malwares. A equipe também descobriu uma maneira de instalar aplicativos maliciosos usando um ID de desenvolvedor real e um carregador USB falso; reconhecidamente mais difícil e de baixa tecnologia, mas ainda preocupante.

O maior problema aqui? Apesar das medidas de segurança para iOS e Mac, ainda é possível criar códigos que escapem a falhas e causem problemas reais. Embora os ataques generalizados provavelmente não usem nenhum desses métodos, os aplicativos Jekyll e explorações semelhantes podem representar um problema para alvos de destaque, como funcionários do governo ou ativistas da Internet..

Nice Masque

Além de transformar aplicativos e perigos de terceiros, há outro problema: o ataque de máscara. Identificados pela empresa de segurança FireEye e abreviação de “mascaramento”, os ataques Masque são uma forma mais sofisticada de WireLurker que depende do sistema corporativo e de provisionamento ad-hoc da Apple. É assim: a Apple está bem com desenvolvedores e empresas que distribuem aplicativos fora dos ecossistemas da App Store usando o que é conhecido como “perfil de provisionamento”. Esse perfil permite que os usuários baixem aplicativos diretamente de um link sem usar nenhum tipo de interface da loja de aplicativos. Embora esse método não seja generalizado, é uma ótima maneira para empresas e startups desenvolverem ou testarem seus próprios aplicativos internamente.

Mas há uma brecha. É possível que aplicativos infectados se disfarçam e substituam aplicativos legítimos nos dispositivos do usuário, desde que os “identificadores de pacote” sejam os mesmos. A Apple não exige certificados correspondentes para aplicativos agrupados de maneira semelhante, permitindo que eles sejam substituídos à vontade. Isso significa que um invasor habilidoso pode potencialmente obter acesso a uma rede corporativa e, em seguida, enviar versões “novas” de aplicativos instalados a todos os telefones dos funcionários – com o ID de desenvolvedor correto, os usuários podem se enganar ao atualizar seus aplicativos e se expor a malware. Pior caso? Um aplicativo mascarado que captura dados armazenados em um aplicativo legítimo, instala uma versão infectada e envia um fluxo de dados para um servidor desconhecido.

Data de validade?

Os ataques WireLurker e Masque colocaram o medo em alguns usuários da Apple, mas essa fruta ainda não é ruim – seu risco é mínimo, a menos que você goste de telefones jailbreak ou navegue em lojas de aplicativos chinesas. Ainda assim, é um lembrete preocupante de que os criadores de malware nunca descansam e que nem o jardim murado da Apple é impenetrável. Faça um favor a si mesmo: navegue de maneira inteligente com uma VPN segura – não há sentido em informar aos usuários em quais aplicativos você está – e, como os anexos de e-mail, não confie em aplicativos que você não conhece. Maçãs de estranhos nunca são uma escolha saudável.