Como a AppStore foi driblada por malwares
Pode não ser o mal do século, mas a descoberta de 18 aplicativos danosos na AppStore coloca mais uma vez em xeque a segurança absoluta que a Apple busca. O rigor na aprovação dos apps é uma das marcas da empresa – e tem muito sucesso –, mas ninguém é infalível. Pelo menos esses vilões eram apenas caça-cliques, com anúncios “escondidos”. De qualquer forma, o suficiente para acender um sinal amarelo.
Os aplicativos foram (quase todos) identificados pela Wandera, uma empresa de segurança com foco em dispositivos móveis. Eles eram todos do mesmo desenvolvedor: a AppAspect Technologies, da Índia. Apenas um deles foi descoberto pela própria Apple, mas recorria ao mesmo expediente para despistar as regras de segurança da empresa e se beneficiar da navegação dos usuários.
Eles não roubavam dados nem controlavam os gadgets, mas lançavam anúncios invisíveis “por baixo” do app, provocando cliques falsos em sites e, assim, aumentavam a receita com anúncios. Embora o maior risco fosse consumir bateria mais rapidamente, o que não é tão grave, o fato merece atenção muito mais pela forma como esses aplicativos conseguiram entrar na AppStore.
Os sistemas da Wandera identificaram atividade estranha no iPhone de um cliente quando um aplicativo fez contato inesperado com um servidor já identificado como nocivo em outra campanha, voltada para Android. Depois de identificar o desenvolvedor, a empresa instalou dezenas de aplicativos em iPhones para testes adicionais. Na análise estática, nada foi encontrado no código. Na dinâmica, que verifica as conexões de saída com servidor remoto e geralmente onde estão os problemas, nada anormal mais uma vez. “Geralmente é onde vemos a atividade desonesta. Nesse caso, não estávamos vendo”, explicou o vice-presidente de produtos da Wandera, Michael Covington, à Wired.
A equipe sabia que havia fumaça ali e não se deu por satisfeita. Eles resolveram adicionar um cartão SIM para ver se mudaria alguma coisa. No primeiro momento, nada. Mas eles esperaram.
Foram alguns dias de acompanhamento, até que 17 dos apps começaram a se comunicar com o mesmo servidor de adware. Ou seja: além de esperar algum tempo para começar a agir, despistando profissionais de segurança, o malware também identificava padrões de comportamento que diminuíam a chance de o usuário ser um robô de teste.
Depois de instalado, ele rodava normalmente até ter certeza de que se tratava de um usuário comum – e só então começava a disparar propagandas ocultas para receber cliques e faturar com isso. Esse tipo de adware é mais comum no Android, notadamente menos preocupado com segurança.
O que diz o desenvolvedor
Em e-mail enviado à Wired, a AppAspect Technologies afirmou que só ficou sabendo desse problema quando a Apple removeu os aplicativos da loja e já trabalha para corrigir os erros. Considerando que às vezes desenvolvedores incorporam códigos de terceiros, até mesmo sem autorização, pode ser que os aplicativos tenham se tornado nocivos acidentalmente. A própria publicação lembra que em 2015 a Apple teve problema depois que alguns fóruns disponibilizaram versões do Xcode com um código de roubo de dados anexado, fazendo com que dezenas de apps infectados conseguissem entrar na AppStore.