Menú principal

jueves, 16 de agosto de 2012

Desubierto Adware en Cydia para hacer Click Fraud

Cuando se realiza un jailbreak a un dispositivo iOS se rompe la seguridad del code-signing. Esta seguridad garantiza que las aplicaciones que se descargan desde el App Store para que se ejecuten en el sistema tienen que venir aprobadas por Apple, haber pasado unos controles de seguridad y hacer uso de determinados permisos en el terminal, por lo que mejores o peores pasan por una serie de testeos de seguridad antes de ser publicadas con el objetivo de proteger al usuario.

Evidentemente, los tests de seguridad que pasan las aplicaciones en App Store pueden ser eludidos, y hay muchos casos en los que se han metido aplicaciones con comportamientos maliciosos como Find & Call, aplicaciones de robo de datos como el caso de Storm8 o que directamente eludían las protecciones del sistema como la prueba de concepto de Charlie Miller con InstaStock. Los controles no son perfectos.

En el caso de un terminal con jailbreak, la confianza en la tienda de aplicaciones que se usa es fundamental. Cydia, de Saurik, es la tienda de aplicaciones más popular en el mundo del jailbreak, y se supone que las apps que allí se publican pasan un mínimo de controles. Sin embargo, desde SecurityByDefualt nos traen una historia de adware descubierto en Cydia.

En la historia de este suceso, Eagle, el protagonista de ella, sufrió una situación en la que su iPhone se estaba consumiendo su tarifa de datos con unos consumos alarmantes. Algo que descubrió gracias al aviso de la operadora. Para comprobar esto mejor utilizó la herramienta Data Monitor, con el que pudo constatar el hecho de este alarmante consumo.

Figura 1: Consumo de tráfico con Data Monitor

Para descubrir la aplicación causante de este alarmante consumo hizo pasar el tráfico por un equipo por Wireshark, haciendo uso de una ataque man in the middle con Ettercap entre su terminal iPhone y el router WiFi de su casa, para descubrir que se estaban realizando muchas peticiones a sitios web extraños.

Figura 2: Sitios web visitados automáticamente

Tras analizar en detalle una de las URLs, descubrió que una de ellas llevaba en un parámetro GET el nombre de un usuario: Nobitazzz,  creador de 9 aplicaciones en Cydia, entre otras, iOS 6 Photos Menu, que es la que había descargado el usuario que sufrió el protagonista de esta historia.

Figura 3: URL con referencia a un usuario nobitazzz

Este usuario Nobitazzz estaba haciendo peticiones a anuncios publicitarios, realizando un click fraud a las compañías de publicidad, en las que se podía consultar el dinero ganado hasta el momento por este usuario en una de ellas. Imaginaos lo que llevaría en total ganado en todas ellas y porqué el mundo del fraude online es tan rentable.

Figura 4: Dinero ganado por Nobitazz en una de las URLs

A día de hoy, Saurik, creador de Cydia, está avisado y ha tomado medidas contra este usuario que ha prometido no hacerlo más, pero la situación deja de manifiesto la necesidad de confiar en las medidas de seguridad que las tiendas de aplicaciones toman sobre las aplicaciones que ofrecen.

A la propia Apple se le coló una aplicación con malware para Windows en la App Store, y ahora a Cydia un adware, por lo que las compañías de seguridad tienen un nicho de mercado en ellas, analizando el software que va a ser distribuido. Por último, queremos recordaros la reflexión que publicamos sobre repositorios como Installous, en los que no hay control sobre los cracks y estos podría acceder al keychain y llevarse todas vuestras passwords. Tened cuidado con vuestros terminales.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares