В некоторых версиях популярной китайской библиотеки, используемой для отображения контекстной рекламы на мобильных устройствах, обнаружен бэкдор, который скрытно ведет звукозапись и ворует данные, хранящиеся на тысячах iOS-устройств.

Исследователи из FireEye насчитали 17 версий SDK mobiSage (с 5.3.3 по 6.4.4) с внедренным бэкдором. По их словам, новейшая версия (7.0.5) этого комплекта средств разработчика чиста.

Старший директор по ИБ-разработкам FireEye Реймонд Вэй (Raymond Wei) сообщил Threatpost, что на настоящий момент неизвестно, причастна ли материнская компания adSage к данному инциденту или вредоносный функционал был привнесен посторонними лицами.

«Это трудно определить, ибо у нас нет доступа к сведениям такого рода, — заявил представитель FireEye. — У рекламных сетей могут быть свои мотивы для сбора информации сверх обычного объема. Рекламные библиотеки могут повести себя очень агрессивно, когда на кону стоит сохранение конкурентоспособности, и начать собирать дополнительные данные. Однако запись аудиосигналов в фоновом режиме не входит в функционал рекламных библиотек».

Вэй полагает, что зараженная библиотека распространялась через китайские каналы. Разработчики ее закачивали и использовали для создания новых приложений, не подозревая о существовании бэкдора. «Трудно сказать, получали ли разработчики зараженный экземпляр напрямую от компании или библиотека была заражена где-то на промежуточном этапе, как это было с XcodeGhost, — гадает Вэй. — На данный момент это определить невозможно».

FireEye обнаружила 2846 iOS-приложений, созданных с помощью зараженных версий mobiSage и выложенных в Apple App Store, а также свыше 900 попыток соединения с сервером контекстной рекламы, с которого злоумышленники могут подавать удаленные JavaScript-команды. Тем не менее передачи вредоносного JavaScript посредством бэкдора пока не зафиксировано.

Установлено, что данный бэкдор позволяет производить аудиозапись и делать скриншоты. Атакующий также может отыскать и выгрузить информацию об iOS-устройстве и его местоположении; модифицировать файлы, содержащие данные приложения; считывать или сбрасывать пароль, закрепленный за приложением с помощью Keychain; отправлять шифрованные данные на сторонние сервера для публикации, запускать разные приложения на зараженном устройстве и подгружать приложения со сторонних сайтов.

Исследователи уведомили Apple о своих находках 21 октября, приложив полный список зараженных приложений и подробное техническое описание. Разработчик пока не подтвердил принятие мер в отношении приложений, проникших на App Store.

«В определенных обстоятельствах все эти действия и активность можно счесть легитимными, — комментирует Вэй. — Так, например, некоторые легитимные приложения умеют записывать аудиосигналы. Разница в том, что такие приложения обычно спрашивают разрешение у пользователя, предлагая ему выбор. Вероятно, проверка на App Store не способна однозначно выявить функции, выполняемые приложением в фоновом режиме».

В своем отчете FireEye также приводит разбор самого бэкдора, состоящего из двух компонентов. Один называется msageCore, он реализует бэкдор-функции и обеспечивает интерфейс для JavaScript. JavaScript-компонент именуется msageJS, он обеспечивает логику исполнения и запускает бэкдор, используя интерфейс, открываемый msageCore.

Категории: Аналитика, Вредоносные программы