A pesar de que las tiendas de aplicaciones cuentan con estrictos filtros de seguridad para prevenir la publicación de apps cargadas de malware, en ocasiones los desarrolladores maliciosos logran que sus creaciones aparezcan como apps legítimas. Apple acaba de reportar la detección de más de mil 200 aplicaciones para iPhone/iPad que contenían código malicioso para extraer datos de los usuarios y redirigirlos a sitios de publicidad invasiva.
Las aplicaciones han sido descargadas más de 300 millones de veces, y al parecer sus desarrolladores crearon una forma altamente eficaz para evadir los procesos de detección de malware para iOS.
En un reporte posterior, la firma de seguridad Snyk anunció la detección de un cmportamiento anómalo en el kit de desarrollo de software Mintegral, desarrollado en China y dedicado a la publicidad, que registra las solicitudes URL y encabezados de solicitud realizados por usuarios de la aplicación, los que pueden acceder a información personal almacenada en el teléfono.
En el blog empresarial de Snyk, la investigadora Alyssa Miller mencionó: “El alcance de esta campaña de recolección de datos es mucho mayor de lo que han logrado campañas similares”. Miller también mencionó que la app emplea métodos de codificación cuestionables para acceder a tales niveles de información.
Debido a que un número considerable de aplicaciones legítimas emplean el SDK Mintegral, los usuarios no pueden hacer demasiado para detener esta conducta, consideran los investigadores de Snyk.
Respecto al funcionamiento de Mintegral, los investigadores creen que este es uno de los SDK de publicidad de mayor uso en el mundo e incluso está disponible para Android, aunque los investigadores no pudieron detectar actividad maliciosa en el SDK para este sistema operativo. Mintegral también cuenta con capacidad de cometer fraude publicitario secuestrando las solicitudes de anuncios de otros marcos publicitarios y reclamarlas como propias, robando ingresos que deberían haber ido a otros desarrolladores.
Finalmente, los investigadores mencionaron que Mintegral se comporta de modo que trata de ocultar su actividad: “Al encontrar evidencia de que está siendo observado, Mintegral modifica su comportamiento, en lo que parece un intento de ocultar su actividad maliciosa”. Snyk también descubrió que el SDK detiene su funcionamiento si detecta que se está ejecutando en un smartphone rooteado o si el dispositivo cuenta con una herramienta de depuración, que son entornos donde los investigadores suelen llevar a cabo sus pruebas de seguridad.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.