Campanha com spyware mira desenvolvedores de apps para iOS
Por Felipe Demartini | Editado por Jones Oliveira | 19 de Março de 2021 às 11h59
Uma nova campanha de espionagem tem os desenvolvedores de aplicativos para iOS na mira. Por meio de versões manipuladas de ferramentas legítimas, integradas ao sistema de produção de softwares da própria Apple, os criminosos são capazes de instalar pragas capazes de registrar as informações digitadas, assim como as imagens da câmera e os sons captados pelo microfone.
- 2020 teve aumento de quase 40% em ataques por e-mail
- Ataques contra empresas aumentam em 10 vezes após falha no Microsoft Exchange
- Adolescente que hackeou o Twitter em 2020 é condenado a três anos de prisão
De acordo com os pesquisadores da SentinelOne, empresa de segurança responsável pela descoberta, o spyware está em uma versão alterada do TabBarInteraction, projeto legítimo e de código aberto que facilita a criação de animações para a barra inferior de aplicativos no iOS. A ideia é que a ferramenta seja integrada ao Xcode, sistema da própria Apple para a criação de apps para o sistema operacional móvel — a edição manipulada traz todos os recursos, mas também um script oculto que, quando executado, instala um malware que passa a espionar os usuários.
A praga em questão é baseada na EggShell, que circula há mais de três anos. Duas variantes estariam contaminando desenvolvedores de apps, principalmente, nos Estados Unidos e na Ásia, como parte de uma campanha que os pesquisadores batizaram de XcodeSpy. Os ataques podem estar acontecendo desde julho do ano passado, mas parecem ter ganhado maior intensidade no final de 2020.
Os casos também podem estar relacionados a uma onda de ataques contra pesquisadores de segurança, que teria o apoio do governo da Coreia do Norte. Por mais que a SentinelOne evite traçar esse paralelo de forma direta, seus especialistas afirmam que pelo menos uma das amostras do XcodeSpy foi encontrada na máquina de um criador de softwares de proteção que vem sendo alvo constante, também, de tentativas de intrusão ligadas à operação contra a comunidade de cibersegurança.
Ainda, os ataques podem estar relacionados a outras tentativas de intrusão envolvendo projetos ligados ao desenvolvimento de aplicativos, que também incluem malwares ocultos ligados a servidores sob o controle dos criminosos. Por isso mesmo, a SentinelOne criou uma ferramenta capaz de detectar scripts irregulares ou que ordenem downloads a partir de ferramentas desse tipo.
O alerta serve, principalmente, para produtoras ou responsáveis por aplicações populares, ainda que não existam evidências do uso das informações coletadas pelo spyware. Para os pesquisadores, pode se tratar der uma campanha de coleta de dados para golpes futuros, além do roubo de credenciais legítimas da App Store para o upload de malwares para a própria loja em nome destes indivíduos.
Além disso, existe a chance de a porta aberta pelo XcodeSpy também ser usada para a entrega de outras modalidades de pragas além do próprio spyware, a partir dos servidores sob o controle dos hackers. Os especialistas dizem estar trabalhando para que tais infraestruturas sejam bloqueadas e, até lá, recomendam que os desenvolvedores evitem baixar projetos e ferramentas fora de sites, perfis e redes de criadores certificados e reconhecidos.
Fonte: SentinelOne, Ars Technica