Nonostante Apple affermi che l’App Store è un luogo sicuro per scaricare sfotware, sembra che alcuni sviluppatori siano ancora in grado di aggirare il processo di revisione dell’azienda per distribuire applicazioni fraudolente agli utenti di iPhone, iPad e Mac.
Un fenomeno inquietante che era già successo diverse volte in passato, ad esempio con il malware Adware Doctor, che fingeva di essere un antivirus.
Questa volta, un ricercatore Alex Kleber ha condiviso un rapporto su diverse app cinesi che hanno bypassato il team di revisione, vediamo cosa è successo.
Come le app riescono a ingannare l’App Store
Il rapporto è stato condiviso in un post su Medium ed è stato sostenuto anche da Patrick Wardle, ricercatore di sicurezza ed ex membro dell’NSA. L’indagine ha esaminato sette diversi account di sviluppatori Apple che sarebbero in realtà gestiti dallo stesso sviluppatore cinese.
Secondo il rapporto, queste app scavalcano le linee guida dell’App Store in molti modi.
La maggior parte di queste app contiene malware nascosto che può ricevere comandi da un server, in questo modo, il codice maligno attende che l’app venga approvata sull’App Store prima di essere pubblicata. Questa tecnica consente agli sviluppatori di modificare anche l’intera interfaccia dell’app in remoto, in modo che Apple veda un’app completamente diversa da quella che verrà distribuita agli utenti.
Anche se le app sono state rilasciate da account diversi, tutte stabiliscono comunicazioni con domini utilizzando servizi come Cloudflare e GoDaddy per nascondere il loro provider di hosting.
È interessante notare che il sito web di queste app dedicato alla privacy reindirizza gli utenti a pagine web pubbliche create con Google Sites.
Un altro aspetto del codice di queste app che le collega allo stesso sviluppatore è che tutte utilizzano la stessa password per decriptare un file JSON usato per ingannare il team di revisione dell’App Store. In alcuni casi, questo sviluppatore ha rilasciato praticamente la stessa app con diversi account, in modo che queste app possano raggiungere e ingannare ancora più utenti, come già avvenuto in passato proprio da hacker cinesi.
Recensioni false fanno sembrare affidabili le app
Una di queste applicazioni è un “PDF Reader”, app popolare, che è stata addirittura inserita nell’elenco delle applicazioni più scaricate nel Mac App Store statunitense.
Una volta scaricata, l’applicazione induce gli utenti a pagare per un piano di abbonamento, ma c’è di più, perchè tutte queste app hanno una molte recensioni positive chiaramente sospette, in mezzo a recensioni negative che affermano che le app non funzionano.
Ovviamente, queste recensioni positive sono false e acquistate dallo sviluppatore per far credere agli utenti che l’app sia legittima. Dopo la pubblicazione del rapporto, Apple ha rimosso la maggior parte delle recensioni false di queste app. Alcune delle app dannose sembrano essere state rimosse anche dal Mac App Store.
Conclusioni
Recentemente la Apple ha dichiarato che l’App Store ha bloccato “quasi 1,5 miliardi di dollari di transazioni fraudolente nel 2021” grazie al team di revisione dell’App Store.
Tuttavia come abbiamo visto diverse volte ricercatori esterni indipendenti hanno dimostrato che l’App Store è ancora altamente suscettibile alle app truffa, che sono difficili da individuare grazie a sofisticati meccanismi di mascheramento.
Per questo consigliamo sempre di avere installato un programma antivirus che monitora le attività in tempo reale.
