Los hackers reemplazan archivos objeto Mach-O usados por el enlazador LLVM al construir una aplicación de iOS.
Easy Solutions alertó a los usuarios sobre un reciente hackeo de la tienda de aplicaciones de Apple. El investigador de seguridad Mark Dowd, de Azimuth Security, reveló una brecha de seguridad en el servicio para compartir archivos AirDrop, que facilitaba instalar software malicioso en un iPhone; también se informó de que aplicaciones chinas ofrecidas en la Tienda Oficial de Aplicaciones de Apple contenían código malicioso, que roba información de los usuarios de iPhone.
Palo Alto Networks informó que en este último incidente se relacionaron 39 aplicaciones conocidas y a cientos de millones de usuarios. Este código malicioso recolectaba y transmitía datos del dispositivo y las apps a un servidor C2 con HTTP. Los nombres de dominio del servidor C2 se relacionaban con el troyano de iOS KeyRaider, que impactaba a dispositivos modificados (jailbroken). El código también e capaz de recibir comandos del servidor atacante para desplegar mecanismos más complejos de captura de credenciales de usuario.
Javier Vargas, Research Manager en Easy Solutions, precisó que debido a que representa un reto superar al equipo de seguridad de Apple, los hackers han tomado un camino diferente, integrando código malicioso en una de las aplicaciones más utilizadas por los desarrolladores, XCode, el entorno integrado de desarrollo de Apple (IDE) para crear aplicaciones de iOS y Mac OSX.
De manera que cada aplicación se vincula a un conjunto de librerías que permiten a las aplicaciones interactuar con el sistema operativo, lo que aplica para todas las plataformas, sin importar el lenguaje o el marco usado.
Para propagar el código, los criminales tomaron versiones legítimas de XCode y reemplazaron partes de las librerías con su propio código, para compartirlas en foros chinos de desarrolladores. En este caso, el truco es reemplazar o añadir archivos objeto Mach-O usados por el enlazador LLVM al construir una aplicación de iOS. Un archivo objeto contiene código objeto máquina en formato reubicable, que no se ejecuta sino hasta que es enlazado a un archivo ejecutable. Estos archivos son utilizados por el enlazador sin mayor verificación. Si un hacker logra reemplazar los archivos, podrá añadir código malicioso sin alterar el comportamiento normal de la aplicación, permitiendo así que el malware no sea detectado en el proceso de evaluación.
De acuerdo con los especialistas los ataques son una amenaza más grande, porque son capaces de evadir la protección basada en la firma del código. Si el hacket infiltra el kit de desarrollo de un programador, el código será firmado legítimamente por dicho programador, aunque contiene malware.